Evgeny
Что сайты, что банковские приложения, все общаются с бэкендом по HTTPS, как правило. В этом вся фишка end-to-end шифрования, что независимо от среды, по которой идёт трафик, обеспечивается его безопасность. При условии, если не проводилось каких-то предварительных манипуляций с сертификатами на самом устройстве.
Сетевой запрос от приложения, скорее всего, просто не пройдёт, если сертификат был подменён. На устройстве должен стоять уже фейковый сертификат, чтобы такой номер сработал.
Если соединение между приложением и банком идёт по HTTPS (что стандарт в финансах), то должно быть всё равно на безопасность VPN.
Это очень хреново, хотя я сегодня утром успел активировать на 12 месяцев, как раз купленный на ozon.
Что по поводу активации подарочных карт?
Если речь идёт от фишинге, то да, это не защитит.