問題3 [smbc.co.jp]の(1)は、文面に表示してあるURLとリンク先が違う、というものです。HTMLのソースはおそらくこういう風になっていると思います。

<a href="http://xxx/123.123.123/">https://direct.smbc.co.jp/</a>

数年前と違って、普通のメーラーはjavascriptがデフォルトでオフになっていますから、ここはこれでいいのです。

しかし、これがブラウザに表示されたhtmlなら、もう少し注意が必要です。

昔よくあったのが、直接ステータスバーを詐称するものです。

<a href="http://xxx/123.123.123/"
   onmouseover="window.status='https://direct.smbc.co.jp'">...</a>

これは、すぐ見破ることが可能です。

で、現在よくあるのが、

<a href="https://direct.smbc.co.jp/"
   onclick="this.href='http://xxx/123.123.123/'">...</a>

というタイプ。
リンクをたどろうとした瞬間に、リンク先が（悪意のあるサイトへ）変更されます。

分けて書く事もできます。
（Mozilla系の例）

<script type="text/javascript">
  document.getElementsByTagName("a")[0]
          .addEventListener
            ("click", function (event) {
                        event.target.href = "http://xxx/123.123.123/";
                      });
</script>
 
<a href="https://direct.smbc.co.jp/">...</a>

これをやられると、ブラウザ側では対策が難しいと思います。アンカーは、クリック直前まで、あらゆる意味で健全ですし。もうちょっと巧妙に書けば、ソースを見ても、まず、わからないようにできるでしょう。

つまり、ブラウザの場合、サイトに悪意があれば、クリックする前にリンク先を知ることは、ほぼ不可能なんです。ツールチップやステータスバーは、全く当てになりません。だって、それらを表示している時点では、まだ健全なんですから。有効な対策はjavascriptをオフにする事ですけど、もちろん、こんなことは万人に薦められません。お手上げです。実際に踏んでみてアドレスバーを確認するしかありません。

実は、これ、つい最近まで、Googleが無差別にやってました。Googleの検索結果も、リンクをクリックする直前までは、ごく真っ当な、見かけ通りのリンクです。しかし、リンクをクリックした瞬間にGoogleのcgiへリンク先が変更されて、一旦そこを経由した後、改めて本物のサイトへとリダイレクトされるようになっていたのです（注：参照数をカウントするため）。現在は、サインアップした人だけ釣っています。

ちなみに、Googleの場合は、フィッシングが甘い（褒め言葉）ので、ログインしたあと、検索結果を右クリックしてからポイントすると、真のリンク先(googleのcgiのアドレス)がステータスバーに表示されるようになります(私のFirefoxの場合)。