Wie gehen Phisher bei der Auswahl ihrer Opfer-Server vor? Suchen sie mittels Robotern nach typischen Merkmalen von unsicheren Seiten, z.B nicht gesicherte Upload-Formulare?

Allerhöchstwahrscheinlich, denn erstens ist das die bequemste und günstigste Möglichkeit, und zweitens ist es von Hand kaum zu schaffen, Millionen von Webseiten abzuklopfen.

Und wenn sie ein mögliches Opfer gefunden haben, wird das dann mit viel Aufwand gehackt

Nur "mögliche" Opfer interessieren nicht. Wenn eine Seite mit einem "typischen Merkmal" gefunden wurde, dann braucht sie nicht mehr gehackt zu werden, denn ein typisches Merkmal gestaltet sich dermaßen, dass sich die geprüfte Lücke vom Bot ausnutzen ließ.

In anderen Worten: Es wird automatisiert gegen abertausende Haustüren gedrückt und wenn eine aufgeht, wird dem Herrn und Meister ein Fund gemeldet. Und wenn die Tür auf ist, besorgst Du Dir keinen Schlüsseldienst, um das Schloss aufzubohren.