https://nordvpn.com/ja/blog/sim-swap-fraud/
ソーシャルハック（つまりは普通の詐欺）で他人の携帯電話のsimカードを入手することでアカウントを奪う攻撃。

仮に銀行やSNSのアカウントのIDやパスワードがわからない場合でも、再設定をリクエストすると、
2段階認証としてアカウントにアクセスするためのリンクまたはワンタイムパスコードが
電話番号のSMS宛にテキストで送信され、アクセスできるようになります。

これはシステム設計もダメなのでは……。
セキュリティは一番弱いところが破られるので、普段は２要素認証（パスワード知識＋スマホ所持）でログインできるようにしてて、特定操作をすれば１要素認証（今回の場合スマホ所持）のみでログインできちゃうなら、それは意味をなしていない。