Los que van a hacer el phishing pueden tener los datos de múltiples maneras y estoy casi seguro que no han hackeado al banco.
Pueden obtener los datos de cualquier otra plataforma con menos medios de seguridad. Hace no mucho hackearon a una importante empresa de paquetería y se lanzó un phishing con los números de seguimiento reales y datos de la persona que estaba esperando un envío mediante esa empresa, pidiendo que pagaran un importe por recibir el pedido.. Yo no lo recibí pero un amigo mío sí y yo estaba con él en el momento en el que lo recibió y en seguida vimos que era un phishing mas sofisticado que el habitual, porque este daba datos concretos de algo que sí estabas esperando especificando origen, destino y numero de seguimiento. O hace menos aún, una famosa web de reserva de hoteles de vacaciones algo similar. O simplemente pueden ser listas de datos que circulan por ahí, que se venden y se trapichea con ellas tras robos de información a empresas o cosas así.
Una vez que obtienen datos de alguien, como han dicho más arriba, sólo tienen que enviar mensajes a esas personas de las que han obtenido los datos en masa con correos haciéndose pasar por BBVA, Santander, Caixabank, Sabadell, Openbank, Bankinter, por estadística la mayoría de la gente tiene cuenta con alguno de estos.
Y lo de las llamadas telefónicas y SMS, para un hacker es posible enviar SMS modificando el número de origen sin tener nada que ver con el banco ni hackear sus sistemas, creo que con las llamadas también se puede hacer esa modificación en el número de cabecera.