Ща, объясню для тех, кто в танке, как угоняют аки с 2-фа, для понимания "о чем" мы тут говорим))
Итак!
Вы долбитесь в глаза, попали (не важно как) на фишинг ссылку, которая копирует точь-в-точь оригинальное окно входа. Но, вы на сайте прокладке, и то, что вы там вводите - вы вводите напрямую злоумышленнику! Т.е. связи с реальным сайтом у вас нет. А у Фишера есть!
Он видит то, что вы печатаете в окошки поля ввода.
Как это выглядит для вас и для фишера:
Вы вводите лог пас - вам говорит система "не верный пароль".
[В это время Фишер на реальном сайте вводит данные, которые вы ему сами и прислали. Но, он упирается в код 2-фа гугл]
Далее вы по новой вводите лог пас, и на этот раз все ок! Появляется окошко, где нужно ввести код аунти 2-фа. Вы его вводите и.. неудача. Вводите заново всё
[В это время фишер спокойно вводит на оригинальном сайте код 2-фа, который вы самии ему и прислали и логинится ]
Но! Чтобы отключить 2-фа Гугл, злоумышленнику надо ввести как пароль, так и ещё раз код 2-фа!
В это время, вы как раз уже все заново ввели, и на странице входа 2-фа - снова отправляете ему код, который ему нужен для отключения 2-фа с ака! (Пароль он уже знает с самого начала)
Больше вы на свой АК не попадете.
Профит. Фишер меняет на свой 2-фа - ак унгнан. (Обычно меняют пароль на вход, но т.к. у БС отключена смена пароля, они вывернулись сменой 2-фа.)
Конец)