パスワードを盗み取る目的で、本物そっくりのデザイン、アドレスの偽のホームページへアクセスさせるメールを送ります。
内容は「ホームページへアクセスして、登録情報を更新してください。期日までに更新しないとアカウントが無効になります。」や「あなたのパスワードが第三者により解析され、無効になりました。以下のパスワードに変更してアカウントを有効にしてください。」などです。
その偽のホームページでIDとパスワードを入力させてアカウントを盗みます(もしくは、特定のパスワードに変更させ、アカウントを盗みます)。盗まれたアカウントは、詐欺出品のIDとして、あるいは、出品禁止商品のIDとして利用されるか、ID自体を売買されます。
盗まれたアカウントがオークションのものではなく、銀行のインターネットアカウントの場合は、そのまま預金を引き出されてしまうため、被害額が甚大になります。リスクの面から考えて、インターネット取引を可能にしている銀行に預金を多く持つことはしないほうが良いでしょう。