der sinn ist es ja, an die daten heranzukommen. und das passiert, indem man eine fake seite bastelt die genau so aussieht wie das original und die benutzer da drauf leitet. wenn diese dann dort ihre daten eingeben (ja, sie müssen die selber eingeben, nur so geht es!) haben die bösewichte die daten. sonst nicht.
und das ist das gemeine an derartigen "angriffen": unvorsichtige benutzer sind die schwachstelle und nicht etwa irgendwelche unsicheren scripts auf der seite oder so. man kann nur darauf hinweisen und hoffen, dass keiner drauf reinfällt.