맞습니다. 요즘 웬만한 사이트들은 모두 트래픽이 encrypt되어 내용이 유출될 일은 드물다는게 맞는 얘깁니다. DNS spoofing을 하여 똑같이 만든 사이트로 보내서 phishing을 할 수 있지만, 본인이 패스워드 등을 넣기 전에 항상 https인지 확인하면 됩니다. 이걸 조심 안하면 2 factor authentication도 소용없습니다. 항상 site authenticity를 눈여겨 보시길.
그러나 라우터를 가진 사람은 쉽게 누가 어느 사이트들을 접속하는지는 알 수 있습니다.