Képzeljük el a következő scenariót: fake oldalra link az áldozatnak > bekéri a login-jelszót > csaló beirja az igazi oldalon a login-jelszót > sms-t megkapja az áldozat > beirja a megerősitő kódot a belépéshez a fake oldalon > a fake oldal hibát jelez, rossz a megerősítő kód; üzenet: kér e új sms-t? > közben a csaló megadja az igazi oldalon a megerősítő kódot és belép rendszerbe > az áldozat kér új sms-t > a csaló elutalja a pénzt magának > az utalás megerősítéséhez kimegy az sms az áldozatnak, aki eleve várja az új sms-t a belépés megerősítéséhez, és ezért nem olvassa el csak megadja a fake oldalon > a csaló megadja az utalásthoz a jóváhagyó kódot és ezzel vége is a sztorinak.
Teljesen életszerű, ezt még az informatikusok egy része is beszopná! Nyilvánvaló, h nem megfelelő védelem az sms! Nem a felhasználó a hülye, hanem az a geci aki ilyen rendszert tervezett és ilyen látszat védelem melett gyakorlatilag terepet és lehetőséget ad arra, h kifosszák az áldozatot!
Amennyi logikátlanságot, inkonzisztenciát tapasztalhat bárki az otp részéről (pl. az otp.hu oldarlól eldob otpbank.hu -ra) elöbb gondolna valami hibára annak kapcsán h nem olyan sms-t kapott mint amit várt, minthogy felismerje h éppen egy csalás áldozata. Nem lehet komolyan venni, h sokmillió forint függjön egy debil sms-től. Ez teljesen aránytalan.