Ese es precisamente el punto al que voy... un certificado SSL no evita que hagan pishing... porque ahora cualquiera puede obtener un certificado SSL (y hasta gratis)...
Entonces yo perfectamente podría comprar el dominio
www.grupobanlocombia.com, y montarle el certificado SSL gratuito y hacer un email bien simpatico igualito a los de bancolombia, con un botón que lo lleva a ud a mi pagina falsa... y armo mi pagina igualita a la de bancolombia...
Ud puede llegar a mi sitio y ver que tengo candadito y pensara que soy bancolombia... pero no... soy banlocombia...
Por eso aclaré... el certificado SSL solo indica que la info que ud envie viaja cifrada y la podrá leer unicamente el servidor de destino...
Pero no indica que la página sea real, ni que no lo vayan a robar, ni que no sea una copia de otra, ni que alguno de sus botones vaya a hacer causar algo malo, ni que no tenga malware... nada de eso lo asegura el certificado SSL.
Saludos.