アマギフを勝手に注文される一連のやつ、不正アクセスの経路が未だによくわかってないっぽいけどセッションハイジャックっぽい感じがしますね。2FA突破されるとは考えにくい…。
よくあるのはブラウザ拡張機能経由でクッキー盗むやつ