In het Verenigd Koninkrijk zijn drie mannen aangeklaagd voor het beheer van OTP.Agency, een website die one-time password (OTP) probeerde te stelen. De website maakte gebruik van een abonnementsvorm en richtte zich vooral op phishers die al over de inloggegevens van hun slachtoffers beschikten en nog een OTP-code nodig hadden om op accounts in te loggen.

Klanten van OTP.Agency konden het telefoonnummer van hun slachtoffers invoeren, die vervolgens werden gebeld en een opgenomen bericht kregen te horen dat er ongeautoriseerde activiteit op hun account had plaatsgevonden. Vervolgens werd het slachtoffer gevraagd om via een app op zijn telefoon een OTP-code te genereren en die op het toestel in te voeren. De ingevoerde OTP-code werd daarna doorgestuurd naar de klant van OTP.Agency.

Volgens het Britse National Crime Agency (NCA) zijn tussen september 2019 en maart 2021 ruim twaalfduizend mensen via de dienst van OTP.Agency aangevallen. De beheerders van OTP.Agency haalden de website in februari 2021 offline, kort nadat het in een artikel van it-journalist Brian Krebs werd genoemd. De nu aangeklaagde verdachten werden in maart 2021 aangehouden. De drie zijn aangeklaagd voor het maken en leveren van producten die bij fraude zijn te gebruiken.