Estoy lejos de mi computadora portátil en este momento, pero recuerdo que el archivo de configuración ettercap se llama etter.conf. Con frecuencia uso ettercap con arpspoof como un ataque MITM y siempre genera cualquier POST HTTP sin cifrar en texto claro. Me aseguraría de que la página de inicio de sesión que está intentando rastrear no sea HTTPS o, si no está cifrada, no se publique en HTTPS.
Editar: solo eché un vistazo a la pregunta y no noté el comentario en español. Sí, es probable que ettercap se lo esté saltando debido al nombre del formulario. Sigue los consejos de JayfromA.