Ha itt olyan fizikai tokenről van szó, ami TOTP alapú (6 darab számjegyet jelenít meg), és ha sikeresen játszanak man in the middle-t, akkor ezt is ugyanúgy ki lehet játszani, mint mondjuk az SMS-ben küldött kódot. Ha úgy indul a támadás, hogy Google hirdetésben egy hasonló, de csaló domainnel első helyre kerülnek, ami az eredetivel egyező netbank weblapot jelenít meg, bekéri a nevet+jelszót+második faktort, akkor ezeket beírja a user, a csaló weblap a háttérben ezekkel az infókkal belép a valós netbankba, és már indulhat is a csalás.