Ciekawi mnie czy taka spreparowana strona bankowa może mieć dokładnie identyczny co do znaku adres jak strona oryginalna (przyjmując że nie było włamu na serwer banku tylko na komputer użytkownika) czy też musi się przynajmniej jakimś jednym znakiem różnić.

oczywiście > google: dns cache poisoning

Można atakować dns'y, ale skoro mamy dostęp do czyjegoś komputera to wystarczy wpis w pliku hosts i adres url będzie identyczny jak w przypadku oryginalnego banku - jedynym problemem jest fakt iż nie będzie certyfikatu, lub przeglądarka ostrzeże że nie można mu zaufać - bo żaden liczący się wystawca certyfikatów nie wystawi certyfikatu dla mult1bank.pl :)
Jednakże mogę sobie wyobrazić podrobioną stronę banku, na której wyskakuje komunikat (naśladujący komunikaty przeglądarki) o zmianie certyfikatu.

A ja uważam, że najlepiej nie wychodzić z domu i nie włączać tego draństwa, jakim jest komputer!

No wlasnie, dokladnie tak jak to napisal graf: nawet jezeli ktos zaatakuje dns-y, czy podmieni plik hosts, to i tak certyfikat na spreparowanej stronie nie bedzie sie zgadzac...

E-mail może być tekstowy wtedy jest podawany adres strony np. http://www.mulltibank.pl , zawsze można liczyć, że nie zauważy dwuch liter "l".
Może być też formatu html wtedy adres będzie prawidłowy http://multinank.pl , tylko że będzie to adres fałszywy, prawdziwy będzie ukryty.
Średnizaawansowanemu webmasterowi stworzenie odpowiedniej strony nie sprawi większej trudności.

w sumie to certyfikat tez mozna obejsc
1. jak ma sie dostep do komputera ofiary to mozna sie pokusic o zainfekowanie przegladarki i podrobienie komponentu odpowiedzialnego za wyswietlanie certyfikatow
2. jak ma sie dostep do routera to zamiast podmieniac dnsy mozna puscic ruch http przez jakies proxy i dodawac do kodu strony jakis js ktory bedzie podmienial numer konta i kwote
uzytkownikowi pokaze sie to co wpisal ale do banku zostana przeslane inne dane
(cos jak np gprs w orange ze podmienia obrazki na obrazki gorszej jakosci)

i pewnie jest jeszcze z milion innych sposobow na ktore phisherzy jeszcze na nasze szczescie nie wpadli (albo sa za leniwi zeby z nich korzystac)