gehst in das <form> leitest es auf dein phising-phpscript um und dann direkt weiter auf die originalseite (natürlich mit post etc im header). adnn merkt der user nichtmal das er auf einer phising war...