"Peraltro, in una tale evenienza, non riesco a immaginare come si necessiti di una email di phishing per rastrellare informazioni: se Tizio può agire liberamente sul sistema di Caio, può tranquillamente vedere, ascoltare, farsi inviare quello che vuole"

Sì e no. Se il target fosse un pc dell'impiegato della tal azienda da cui devo recuperare delle credenziali per fare login sul sito della banca, allora è giusto, non ho bisogno del pishing, cerco di prendere il controllo dep pc target e attendo oppure "scavo" alla ricerca di ciò che mi serve.

Se invece voglio rastrellare "in massa", è molto più semplice agire con pishing, 'ndo cojo cojo, mando a 10.000.000 di utenti, ci cascano solo in 5, rastrello tutto il possibile da quei 5 in modo automatizzato. Se dovessi "prendere il controllo" di ogni singolo pc per andare a cercare i dati di interesse perderei un sacco di tempo inutilmente su ogni singola macchina