Nem értem a csodálkozásodat. Ha kamu weboldalt csinál valaki banki phishinghez, akkor ez teljesen természetes folyamat, akár automatizálni is lehet, pontosabban így célszerű. A user beírja a nevet/jelszót, első faktor máris megvan. A kamu oldalon lévő script egyből elindítja a bejelentkezést a valódi banki oldalon, természetes, hogy a bank kiküldi az SMS-t, ha az a 2FA. És innentől az áldozat - aki természetesnek veszi az SMS-t. elvégre épp most lép be a bankba - vissza is gépeli a kamu oldalnak, amely egyből továbbítja az eredeti felé, login kész.
Az IP-címre való hivatkozás alapvetően marhaság, amennyiben a kamu szerver Magyarországon működik, még a lokáció is stimmel, a user pedig - ha mondjuk notebookról, tabletről, stb. lép be, és nem ugyanott van, akkor bármikor más IP-ről léphet be. A kamu oldal még azt is megteheti, hogy a user-agent mezőt is az eredetiről veszi, és akkor az se lesz gyanús.
A tranzakció validálásának elmaradása itt a legnagyobb probléma, de elképzelve, hogy az illető esetleg tényleg átutalni akar, még az is visszaismételhető, csak épp más kedvezményezett számmal és összeggel. Ha a user nem olvassa el figyelmesen a megerősítéskor kapott SMS-t, azt is beszophatja.
Ennek részbeni kivédésére már van bank, amely beállít egy maximális átutalási limitet, tehát ha mondjuk elutalnék 1000 Ft-ot X számlára, a csalioldal meg 2M Ft-ra és Y számlára írja át, nem menne át, ha a limit 500eFt.