Ich initiiere einen Chat mit der Bank.
In der Weboberfläche steht: “wir haben dir einen Code an deine Mobilfunknummer geschickt. bitte sag uns diesen Code.”
Ich bekomme eine SMS von einem generischen Absender mit einer generischen Nummer. In der gleichen Unterhaltung sehe ich noch ältere Codes. Diese sind zwar mit Kontext – aber von anderen Anbietern.
Ich kann also nicht sicher gehen, dass die Nummer, die ich gerade eingebe nicht zur Verifizierung bei einem MITM-Angriff verwendet wird.
2FA muss auch okay richtig umgesetzt sein, ansonsten ist es nur ein kleineres Loch in einem Schweizer Käse.