確かにhostsを書き換えるってのは新しい手口だが、これが有効ってことは、「接続先のホスト名は確かめるが、プロトコルがSSLであることや証明書が有効であることは確かめない」って人相手ではあるな。もちろん、元手ゼロで数撃ってなんぼな詐欺だから、確率をわずかでも上げる意義はあるんだろうけど。