I cosiddetti 'scammer' stanno cercando di aggirare i sistemi di autenticazione 'forte' basati su token adottati da alcune banche. Secondo Netcraft nelle scorse settimane sono spuntati circa 35 siti di phishing che inducono gli utenti a divulgare password temporanee create da questi dispositivi. Gli esperti spiegano che solo recentemente i phisher hanno cominciato a cercare delle strade per superare l'autenticazione via token usando quello che viene definito attacco "man-in-the-middle".

I token vengono utilizzati per creare una seconda password temporanea per i clienti di servizi di online banking. Tali password sono valide per un periodo di tempo molto breve e possono essere utilizzate solo una volta rendendone inutile l'eventuale furto. In gergo si parla di autenticazione a due fattori. Nel corso di un attacco contro i clienti di una banca statunitense i malintenzionati hanno quindi impostato un sito Web fasullo dove le vittime vengono indotte con l'inganno a inserire le rispettive password. Il sito inviava immediatamente le informazioni a quello vero della banca consentendo ai criminali di registrarsi prima della vittima.