Grundsätzlich hast du Recht… wenn der Angreifer nicht gerade SIM-Swapping anwendet, dann muss ein neues Gerät immer erstmal via Email bestätigt werden, wobei hier glaube ich auch bei einem neuen Standort, der stark vom bisherigen abweicht, eine Freigabe via Email notwendig ist.
BTW: würde 2FA via SMS auch bei SIM-Swapping erfolgreich umgangen werden, hier wäre also nur eine Authentificator-App sinnvoll.