> 通常の画面での入出力をジャックするだけじゃ不足な情報があるから、
> 専用の入力でそれを収集したい、とか、そういうことなのかな？

資金を移動するために，二要素認証 (乱数表とか) の情報を入力させたいのではないでしょうか．
攻撃者としては乱数表を全部入力させるのが理想ですが，怪しまれるでしょうし，セキュアトークンには対応できません．

ID/パスワードの情報は盗聴で得られる (あるいはセッションを乗っ取ればいい) から，バックグラウンドで振り込みの取り引きを進めることは可能です．
振り込みの最後の認証操作 (乱数表の一部を入力するとか，セキュアトークンに表示された文字列を入力するとか) だけを利用者にやらせれば，資金を攻撃者の好きなように動かせますね．