Szerintem úgy működik, hogy a user "belép" az oldalon, támadó átmásolja a user által megadott user/pass-t a mobil appba, majd átdobja a user-t az sms bekérő oldalra, a bank kiküldi a usernak a "mobil app regisztráció megerőssítése" sms-t , a user a megkapott kódot szépen beírja az sms mezőbe az oldalon így megkapja a támadó, a támadó beírja a kódot a mobil appba és onnan kezdve az aktív és azt csinál vele amit akar. A user meg kap egy szép sikeres egyeztetés képernyőt és örül, hogy biztonságban van...