Robo de contraseñas bancarias por email

Tení­a pendiente desde hace unos días explicaros un intento de robo de la contraseña de un banco a través del email. Le pasó a finales de enero a un amigo.
La cuestión es que le llegó un email con este texto (el nombre del banco lo oculto):

iQuerido y apreciado usuario de NombreBanco!
Como parte nuestro servicio de proteccion de su cuenta
y reduccion de fraudes en nuestro sitio web, estamos pasando
un periodo de revision de nuestras cuentas de usuario. Le
rogamos visite nuestro sitio siguiendo link dado abajo. Esto
es requerido para que podamos continuar ofreciendole un
entorno seguro y libre de riesgos para enviar y recibir dinero en
linea, manteniendo la experincia de «NombreBanco».Despues del
periodo de verificacion, sera redireccionado a la pagina principa
de «NombreBanco». Gracias.

Después de este texto, se incluí­a un enlace que a simple vista parece apuntar a la web del banco en cuestión.
En realidad, el texto del link sí­ que es la dirección del banco, pero el enlace apunta a otro sitio. Concretamente, esta es la dirección de destino del enlace:
http://www.nombrebanco.es%01%01%…así­ muchos más…%01%01@207.150.192.12/temp/sellarts/servin.html

Esta dirección tiene las dos siguientes caracterí­sticas:

1. Mediante toda la cadena de %01 aprovecha un fallo de Internet Explorer que hace que éste muestre en la barra de navegación sólo la primera parte de la dirección, es decir, la que parece apuntar a la web del banco. Con esto, al usuario atacado le parecerá que está en la verdadera web.
2. La especificación de URLs permite el siguiente formato (lo explico simplificadamente): http://usuario@maquina/directorios/ En la dirección anterior se puede ver que hay una arroba. Por tanto, en realidad ese enlace apunta a la web que está en la dirección 207.150.192.12, accediendo con el usuario «www.nombrebanco.es%01%01%01….». Esa dirección tendrá simplemente un formulario simulando la imagen del banco y que una vez que introduzcamos nuestro usuario y contraseña nos dirigirá a la web del banco, después de guardar nuestros datos para disfrute de los atacantes.

Mi amigo no cayó porque el email le pareció demasiado cutre (incluso con errores tipográficos) para venir del banco. Es curioso que los crackers prepararon bien todos los detalles técnicos, que probablemente es lo más dificil, y descuidaron la parte más fácil.
El bug de Internet Explorer que mostraba la dirección incorrecta en la barra de navegación ya está corregido en un parche que publicó Microsoft hace poco.
No he publicado el nombre del banco porque el banco como tal no tiene ninguna responsabilidad en la vulnerabilidad que se ataca (es de Microsoft).
La única cosa que pone en duda la seguridad del banco es el hecho de que un cracker pueda tener el email de un cliente del banco. Me gustarí­a saber cómo han conseguido en este caso los atacantes una lista de emails de clientes.