Een nieuwe variant van een Trojaans paard is erin geslaagd om de beveiliging te omzeilen die Amerikaanse banken gebruiken om hun online klanten te beschermen. De Bank of America en tal van andere financiële instellingen gebruiken "SiteKey" als een extra beveiligingslaag, om phishing te voorkomen en ervoor te zorgen dat als een hacker de login van een internetbankierder heeft, hij toch geen toegang tot de rekening krijgt.

SiteKey laat de klant een afbeelding kiezen en antwoord op verschillende geheime vragen geven. De afbeelding wordt elke keer getoond als men vanaf een bij de bank bekend IP-adres inlogt. Zo ziet de klant dat hij zich op de echte banksite bevindt. Als de gebruiker vanaf een onbekend IP-adres inlogt, moet hij antwoord op de geheime vragen geven, waarna de bank een token op de machine installeert die ervoor zorgt dat dit proces slechts eenmalig wordt doorlopen.

Het idee is dat als een aanvaller malware installeert en de login van de gebruiker steelt, hij ook de antwoorden op de geheime vragen moet weten om in te loggen. Het probleem met SiteKey is dat de technologie op elke machine het token in dezelfde directory plaatst. De nieuwe Pinch variant kopieert dit bestand, en slaat het op met de gebruikersnaam en wachtwoord.

Volgens RSA, eigenaar van de technologie, verschijnt er steeds meer malware die SiteKey omzeilt, maar heeft men een extra beveiliging ingebouwd die voorkomt dat criminelen die de token hebben gestolen toch kunnen inloggen. Hoe deze beveiliging precies werkt wil RSA niet zeggen.