Tokens são gerados por apps autenticadores (como Google Authenticator ou Microsoft Authenticator) ou enviados por SMS/e-mail. Cada código é válido apenas uma vez e por tempo limitado, tornando-o inútil se interceptado depois.
Nunca compartilhe um token com ninguém, mesmo que a pessoa se identifique como funcionário do banco. Bancos legítimos nunca solicitam tokens por iniciativa própria.