私の理解では、

1. SPAMで本物そっくりのログイン画面に誘導
2. 入力されたID/パスワードを本物のサイトに転送
3. 偽のワンタイムパスワード入力画面を表示
4. 本物のサイトから本人に送られてきたワンタイムパスワードを奪い取ってログイン、あとは好き放題

てな感じですかねえ