巧妙な方法です。URLが正しいので気がつかないですね。しかしホストファイルを書き換える方法ということはホスト名に対応するIPアドレスを変えて偽サイトをアクセスすることになるが、元のURLがhttpsでSSL通信しようとしているページだとエラーになる。今時SSL通信もしないECサイトがそんなにあるんだろうか。偽IPアドレスで公開鍵証明書を持っていたとしたらすぐ申請者がばれるのでは。
どちらにしても
・httpsになっているかを確認する
・SSL通信していないサイトではIDパスワードは入力しない

このメールは開封されると、密かにスクリプトを実行して被害者のPCのホストファイルを書き換える。そのため、次にユーザーが正当な方法でオンラインバンキングのWebサイトにアクセスしようとすると自動的に偽装されたWebサイトにリダイレクトされ、ログイン情報などが盗まれてしまうという。ただし、この手口ではWindows Scripting Hostが利用されるため、これを無効にしているコンピュータは安全であるとMessageLabsでは説明している。