RSAセキュリティによると、海外の金融機関などでユーザの本人認証のために採用されている、携帯電話のショートメッセージサービス（SMS）を利用したワンタイムパスワード（OTP）を破る手口が確認されたという。
確認された手口は従来通りフィッシングメールを送信し、フィッシングサイトに誘導する。ユーザがフィッシングサイトにアカウント情報を入力すると、画面上に「しばらくお待ちください」といった趣旨のページがゆっくり表示され、時間稼ぎを行う。その間に、攻撃者はフィッシングサイトに入力されたアカウント情報を使って正規サイトにログインし、送金処理を行う。すると、ユーザの元には正規サイトからSMSでOTPが送信されるため、フィッシングサイトでは、時間稼ぎページに続いてOTPの入力を求めるページが表示される。ここで、ユーザがOTPを入力すると送金処理が完了してまうという流れだという。

http://internet.watch.impress.co.jp/docs/news/20100728_383861.html