Фишинг - сайт прослойка. Принимает от вас данные и передает на настоящий. Если у вас стоит 2fa и вы логинетесь на фишинговом сайте, вводя логин, пароль, код 2fa. Ему ничто не помешает, использовать введный вами же 2fa код, чтобы снять двухфакторку незаметно, а потом установить уже свою. Ну и вот вы закинули деньги, а баланс заморожен. После пополнение баланса фишер завершает все сессии кроме своей и вуаля. Вся мощь 2fa