"Il faut toujours vérifier que l'on se trouve sur des pages sécurisées en recherchant un cadenas sur le navigateur." => Non. Un serveur pirate en HTTPS doté d'un certificat SSL "valide" (certifié par un des organismes courants) affichera un joli canedas vert aucunement différent de celui d'un site bancaire classique. Et si le certif n'est pas valide, ça sera du pareil au même sauf que le cadenas sera en rouge (ce qu'aucun utilisateur neophyte ne remarquera). La seule manière d'être sûr, c'est de verifier que le certificat est bien le même que lors des dernieres visites (à supposer d'ailleurs que lors des visites précédentes le serveur atteint était authentique). Verifier si "le cadenas est present" sert simplement à s'assurer que les communications entre la machine client et le serveur sont cryptées (et donc non écoutables en route - sauf dans certains cas, comme par exemple si une attaque man-in-the-middle est mise en oeuvre).
Par contre, il faut consciencieusement verifier l'url dans le navigateur, oui, mais d'une manière générale le mieux à faire, si vous recevez un mail de votre banque (tres improbable sans demande de votre part), d'ebay... contenant un lien, est de directement se connecter au site en tapant l'adresse dans le navigateur au lieu de cliquer sur le lien présent dans le mail.