Wenn jemand eine Webseite derart manipulieren kann, wäre es dann nicht auch denkbar, dass der Angreifer den Wert des Feldes abfragt und diesen an sich sendet?

Ja, aber warum sollte er es tun? Wenn du die TAN eingibst, benutzt du sie idR. auch - dann ist sie für den Angreifer wertlos.

Nicht unbedingt, der Angreifer könnte dann ja auch das Originalformular für eine gewisse Zeit blockieren, oder nicht?
Und schon ist die TAN nicht mehr so wertlos.
Vor allem würde dies komplett in Hintergrund stattfinden, der Nutzer würde da ja gar nichts merken!

Verbreiteter ist es, dass bei den gemachten Transaktionen zusätzliche Datensätze eingefügt werden und gehofft wird, dass es nicht auffällt.

Für diesen Zweck sind aber eher die Logindaten interessant.

Diese habe ich ja nun auch eingegeben, ich sollte somit davon ausgehen, dass die Login-Daten bekannt sind.
Mist!