A TOTP-vel ugyanaz a probléma: teljesen mindegy hogy SMS vagy TOTP-t írsz be, ha a támadó lemásolja a weboldalt és átjuttat téged oda, akkor benézted.
Ha egy mobil alkalmazásod van amit app store-ból telepítesz (és mondjuk tegyük fel hogy az OTP alkalmazása helyett nem csinkacsung tuti opt alkalmazását rakod fel), akkor ilyen probléma nincs: az alkalmazást tudod hogy a bank készítette, a kapcsolat védett man in the middle támadás ellen (certificate pinning) és még biometrikus azonosításod is van, amit nem csak a készülék, hanem maga az alkalmazás is csinálhat (ilyenkor egy keystore-t nyitnak meg hozzáférésre és kriptográfiai műveleteket végeznek az ott tárolt kulccsal amit csak használni lehet, letölteni nem).
Persze, van mobil appon kívül is élet, csak akkor meg nem kell reklamálni hogy csak windows-on megy.