A SIM kártyacserés megoldásra azért rendesen rá kell készülni, mindenképpen személyre szóló. Ehhez képest sokkal egyszerűbb egy fake weboldalt összehozni és a felhasználót odairányítani. Aztán csak várni kell, hogy egy olyan műveletet hajtson végre, amihez jóváhagyó kód szükséges, és akkor indítani egy átutalást helyette, a jóváhagyó kódot meg úgyis beírja a gépbe. Itt nem is az a probléma, hogy a 2FA nem független egymástól (független az), csak maga az azonosítás viszont a másik irányban ugyanazon a csatornán megy. Ez ellen ráadásul a hard token sem igazán véd.