Szerintem nem érted a MITM lényegét.
Normál eset: user gépe -> bank. A user gépe be tud kérni egy ujjlenyomatot, és el tudja küldeni a banknak. A user gépe meg tud kapni egy SMS-t, aminek a tartalmát el tudja küldeni a banknak. Vagy valami hasonló.
MITM: user gépe -> támadó gépe -> bank. A támadó úgy tesz a user felé, mintha ő lenne a bank (lemásolja a felületet meg mindent). A bank felé meg úgy tesz, mintha ő lenne a user.
Ha a user gépe be tud olvasni egy ujjlenyomatot és továbbküldeni a bank felé, akkor a támadó gépe is képes ugyanerre. SMS-sel ugyanez, és ugye ez a tipikus eset.