Das https ist ja quasi nur das Protokoll und stgeht für eine Secure Socket Layer Verbindung. Allerdings leisten sich die wenigsten Spammer ein SSL Zertifikat, da hast Du auf jeden Fall Recht.
Die Browser (am Beispiel des Firefox kurz mal) unterscheiden zur Zeit innerhalb der Zertifikate drei verschiedene Statusse (Stati?):
1. Selbstausgestelltes und -signiertes zertifikat. Der Browser warnt vor unsicherem SSL. Bei angeblich offiziellen Seiten kann man sofort abbrechen. Man ist definitiv falsch und soll geneppt werden.
2. Gültiges Zertifikat, signiert von einer vertrauenswürdigen Stelle (Verysign, Thawte etc). Der Browser (firefox) zeigts oben blau an. Man ist zu 99.5% auf der richtigen Seite.
3. Gültiges EV Zeritfikat. EV steht für extende Validation. Um an ein solches zertifikat zu kommen, muss man viel geld ausgeben und die Prüfung des Antragsstellers ist enorm umfangreich. Banken verwenden das immer. Wenns grün wird, ist man eigentlich zu 100% auf der richtigen Seite.
Wichtig sind im endeffekt zwei Prüfungen in Kombination, wenn es um Seiten geht, die angeblich sensible Daten haben wollen.
1. (siehe ChristophB) Ist die Seite korrekt verschlüsselt?
2. Stimmt die Domain?
Beispiele:
https://www.paypal.com -> Auf jeden Fall richtig
http://www.kreditkarten-paypal.com -> 100% böse
https://www.paypal.com.blub.ru -> Auf Wiedersehen Sparstrumpf (böse)
