Хотелось бы добавить, что отсылать на фейковую страницу не обязательно стандартными способами, чтобы пользователь видел адрес в строке браузера. Можно воспользоваться, например, уязвимостью ИЕ - отображение в строке браузера другого адреса или, что еще чаще применяется, использование активной Xss, когда в тело Xss вписывается фрейм, с фейковой страницей на весь экран.