https://twitter.com/anohana/status/1181858642217197570
攻撃者はIDパスワードは入手しており2段階認証の1つを既に破っている状態で、所有物要素認証(スマホ)は突破できていないためログインできない状態から、所有物要素認証を突破するソーシャルハック。
攻撃者が「自分はサービス提供者である。本人確認のためにスマホに認証コードを送った」という電話をかけて、そのタイミングでIDパスワードを入力したがまだログインできてない画面から(本来はログイン認証のための)二段階認証のコード要求を被攻撃者のスマホに送る。
すると被攻撃者には正式なサービス提供者からの認証コードが届くので、それを読み上げてもらえば攻撃者は二段階認証を突破できる。

2FAをトリガする時点で、通信相手が確実に対象であることが保証されてないと駄目、と考えれば納得いくんだけど、話術の流れだと自然に信じてしまいそうだ。