Jo eine Möglichkeit wäre, sich FTP Zugang zu verschaffen, was ja u.U. auch möglich ist (BruteForce Angriff auf Passwort, Sicherheitslücken in Software/Script etc.).

Da solche "Clones" aber meist nicht die komplette Funktionalität bieten, sondern hauptsächlich die Logindaten abgegriffen werden sollen, reicht es, das Design zu kopieren (davor gibt es keinen Schutz!), und eine PHP Datei an das Login Formular anzubinden, die die eingegebenen Daten speichert.

Du als Seitenbetreiber kannst die User kaum davor schützen, da müssen die schon selber schaun, was in ihrer Adressleiste steht

Mit dieser Vorgehensweise macht man sich aber strafbar, also probiers selber gar nicht erst aus

Guckst du auch: http://de.wikipedia.org/wiki/Phishing