Ez annyiból jó, hogy a bank pontosan tudja, ki lépett be - viszont ha én elcsípem a QR-kódot meg a teljes forgalmat, és "proxyzok" a bank és az áldozat böngészője között, akkor nagyjából az SMS szintje a dolog: bank mutat egy kódot, én mutatom ügyfélnek, ő rácsippant dáp azsongya jó'van, bank kapja infót, hogy adott qr-kódot gipszjakab csippantotta le, bank küldi gipszjakab számlaoldalát, amit én megfogok, és továbbítom az user böngészője felé - vagy azt, vagy valami egészen mást, és közben mókolhatom a számláját...