Veo que el sitio ahora está suspendido por hostmonster. Suponiendo que no proporcionó las credenciales a sabiendas o sin saberlo, aquí hay algunas posibilidades, si el correo electrónico de phishing estaba vinculado a la cuenta comprometida en absoluto.
1. Contenido del portapapeles robado
La página maliciosa podría tener datos robados del portapapeles .
2. Guiones maliciosos
El enlace malicioso redirige al usuario a una página edu, pero entre la redirección podría haber muchas otras páginas redirigidas. He visto algunos buenos ejemplos en diferentes páginas php del lado del servidor (aparte del código del lado del cliente del ejemplo anterior) y es transparente a simple vista. Los scripts podrían enviar correos electrónicos sin cuadros de diálogo de cliente de correo electrónico.
El software malicioso también se pudo haber descargado, lo que puede haber comprometido a la máquina a ser un servidor de retransmisión abierto.
3. Plugin / extensión maliciosa instalada
En la autenticación básica, las credenciales se envían a través de HTTP POST, a la que se puede acceder mediante las herramientas de desarrollo del navegador. Un plugin malicioso puede explotar eso.
Dicho esto, es útil comprender cómo se enviaron los correos electrónicos no deseados, ya sea a través del correo web (para que sepamos que se trata de seguridad web) o para clientes (así que sabemos que está relacionado con la seguridad del host y la red). Cada pista tendría más posibilidades propias.
En cuanto a las herramientas que pueden ayudarlo, ¿por qué no verifica los datos salientes al host malicioso? Si tiene los registros: registros de proxy, flujo de red, captura de paquetes, etc.
Aquellos pintarían una buena imagen de lo que se había filtrado.