Ha nem mobil appról lépsz be, találkozhatsz: szöveges üzenettel (pl. bankok), email-lel (pl. Telekom), hardveres TOTP tokennel (pl. RSA SecurID), autentikátor appal (pl. Google). Ezeknél mind számokat kell beírni a leendő áldozatnak. Egyszerűbb egy phishing oldalt felkészíteni a beírt adatok továbbítására, mint egy "mérőkocsiban" a helyszínen arra várni, hogy a felhasználó méltóztasson belépni a rendszerbe (és a korábban megszerzett adatokat felhasználni a kompromittáláshoz).
Ilyen is van, de az egy másik történet.