ha 2 faktor auth akkor meg eléggé át kéne írnia a keyloggert :) De persze minden lehetséges. Sok spammer pont ezt csinálja hogy megad egy email addresst és oda gyűjt több különböző phishing oldalról jelszavakat és azokat továbbküldi automatán ahol meg harvesteli DB-be. Ezek a tipikus "rezultboxok". De ugye ebben az esetben $send = x@x.com jelszó nélkül.
Szerintem ha kivitelezett egy ilyet ennyi idősen akkor van annyira okos hogy tanul a dolgokból és jóra fogja használni. :)