Hol kap/kér a böngésző tokent a DÁP-os folyamatban? És hol van kikényszerítve/megmondva neki, hogy ezt tegye?
User beírja a mexivtadponthu url-t, bejön a banki login oldal másolata. User azt mondja, hogy ő biza' DÁP-pal óhajt authentikálni, ekkor a user böngészője -> támadó útvonalon elindul a kérése, majd a támadó -> bank útvonalon a bank kap egy "dáp-ot akarok" kérést. A bank -> támadó küld qr kód meg fittyfene, támadó - > user böngészője útvonalon megy egy QR-kód, meg némi sallang, hogy az oldal megjelenjen.
User a qr-kódot bemutatja a DÁP-os alkalmazásnak, app elmegy dáp szerverekhez, dáp szerverek - bank megbeszélik, hogy adott qr kódot Gipsz Jakab csippantotta le, bank -> támadó küldi Gipsz Jakabot bejelentkeztetve az oldalt (ha kell, a banktól kapott összes adat ott van a támadónál, tehát tud rá válaszolni érdemben és helyesen), támadó -> user böngészője megy a netbanki oldal, kellően lassan, hogy közben a támadó ezt-azt meg tudjon csinálni, estébé.