No, funguje to jednoduše.
Zatímco vy se přihlašujete k podvržené stránce do formuláře rybářovi, ten se s vašimi údaji jako přes kopírak (znáte ješte kopíráky, že jo? :) .. hlásí na opravdové stránky banky. Rybář místo vás. A až vám dorazí smskou heslo, vy mu ho vyplníte do jeho stránky a on se s ním připojí do opravdového bankovnictví.
Ideálně pak má připojenu další stránku, kde chce znovu zadat certifikační heslo zaslané smskou. A tam když nejste dost pozorný, tak si nevšimnete, že mu předáváte heslo pro validaci převodu z účtu.
Taková stínohra.