A scammer nem a világ másik végén nyomkodja a bank eredeti weboldalát, hanem az R=1 user képébe tol egy, az eredetire megszólalásig hasonlító oldalt, ami jelen esetben a QR-kódot már nem "helyből", hanem a "proxizva lejátszott" login folyamat részeként a banktól kapva fogja a user képébe tolni.
Azaz user megnyitja az otpscampontrandomdomainpontvalami oldalt, ott megkapja az esetünkben OTP-s login oldal másolatát, beírja a user/pass párost, a scammer weboldala mögötti "okosság" ezekkel elmegy az otp valós weboldalához, és a visszakapott tartalmat fogja a usernek a képébe tolni, a user a már valós, ténylegesen a banktól kapott QR-kódot fogja látni és 2FA-ként az alkalmazásban leolvasni, és jóváhagyni a logint.
Az más kérdés, hogy mennyire valós igény az, hogy a böngészője, amiből a netbankba jelentkezik be lehessen geoip alapon x km-nél távolabb a 2FA-s eszközétől, illetve hogy ezt viszgálja-e egyáltalán a bank, hogy a böngésző jön kispiricsről, a mobilos jóváhagyás meg egy dél-bantusztáni szolgáltató felől...