Detta così non ci sono abbastanza dettagli...
Dovresti per esempio inserire le intestazioni della mail, così da capire da dove arriva e che giro ha fatto, nonchè il link opportunamente modificato (che non sia cliccabile, per capirci, a scanso di problemi)

In ogni caso tutto può essere...prima ti mando su una pagina di pishing dove ti chiedo i dati di accesso, tu li inserisci senza far caso che è una pagina falsa, io mi registro i tuoi dati e poi ti faccio fare il login reale sul sito reale....ma nel frattempo ti ho fregato la login ;-)