Az a gond hogy a 2FA egyszerűen nem véd a legegyszerűbb és leggyakoribb támadás ellen: lemásolom a bank weboldalát egy saját szerverre, beállok az ügyfél és a bank közé, google hirdetéssel elérem hogy az én oldalamra menjenek a bank hivatalos oldala helyett. Teljesen mindegy, hogy ezt SMS-ben, TOTP kóddal, HW tokennel vagy bármilyen hasonló módon oldja meg a bank a második faktort, egyszerűen nem fog védeni ez ellen.
Jelen pillanatban az egyetlen működő védelmi megoldás az a mobiltelefonra töltött banki alkalmazással történő bankolás. Itt a cert. pinning miatt biztosítva van hogy nem lehet MITM támadást végrehajtani: a felhasználó biztosan a bankkal fog kommunikálni.