所以还是我说的问题，工行流程有漏洞，仅仅泄露密码器的六位数就会导致盗刷。民生银行不但要密码器的六位数，还要取款密码，就骗不成了，正常人不会泄露取款密码。
小银行一般网银所有转出都需要交易密码(取款密码)+辅助验证手段，包括U盾，密码器，短信验证码，好处是单一密码授权，只要修改交易密码，就能防止银行端的所有盗刷渠道。
大行一般只验证U盾或者密码器或者短信，不验证静态交易密码，不知为何这样设计，为了防止网上泄露取款密码？问题是不泄露也能盗刷啊，那保密那个密码已经失去了意义。有人说U盾和密码器本身有密码，问题是这个密码储存在硬件上，不在银行后台数据库，实际上和账户无关。
石家庄工行2015爆出内鬼用假U盾调包真U盾导致盗用上千万，就是这个原因:

http://m.xinmin.cn/mobile/news/content/27682682/e37b9e83b4f96aac1dace884ca2ea88c

工行的e支付也很坑，只要卡号后六位+预留手机号+短信验证码就能支付，完全不要静态密码。别人借用你的手机或者安卓木马就能盗刷。搜索“e支付 网银在线”能得到大量盗刷案例。

【 在 veriloghdl 的大作中提到: 】
: 转账的话，工行密码器要求输入的代码最后几位是金额，之前是目标账号后四位，很容易识别出来
:
--
FROM 27.18.232.*