攻撃者が、VPNダイアログに利用者IDとパスワードを入力します。
すると正規利用者宛にセキュリティコードと入力画面が送られます。
攻撃者はセキュリティコードを入手するため、罠の入力画面を正規利用者に送ります。
こうなると正規利用者の元には正規の入力画面と罠の入力画面、
2つの入力画面が送られる形にならないでしょうか？

注1)に記入されている内容ではSMSにセキュリティコードが送信されると記入されており、正規の入力画面は一緒に送信されません。
利用者は罠の入力画面にフィッシングされているため、罠のセキュリティコードの入力画面のみ攻撃者のWebサイトから送信されています。

そういうことでしたか…ご回答ありがとうございます！！