Vedo che il sito è ora sospeso da hostmonster. Supponendo che non abbia fornito credenziali consapevolmente o inconsapevolmente, qui ci sono alcune possibilità, se l'e-mail di phishing è stata collegata all'account compromesso.
1. Contenuto degli appunti rubato
La pagina dannosa potrebbe contenere dati degli appunti rubati .
2. Script dannosi
Il link dannoso reindirizza l'utente a una pagina edu, ma tra il reindirizzamento potrebbero esserci molte altre pagine reindirizzate. Ho visto alcuni buoni esempi che attraversano diverse pagine php lato server (a parte il codice lato client dall'esempio precedente) ed è trasparente ad occhio nudo. Gli script potrebbero inviare e-mail senza finestre di dialogo del client di posta elettronica.
Anche il malware poteva essere scaricato, questo potrebbe aver compromesso il fatto che la macchina fosse un server di inoltro aperto.
3. Plug-in / estensione dannoso installato
Nell'autenticazione di base, le credenziali vengono inviate tramite HTTP POST, accessibile tramite gli strumenti di sviluppo del browser. Un plugin dannoso può sfruttarlo.
Detto questo, è utile capire come sono state inviate le e-mail di spam, sia attraverso la posta web (quindi sappiamo che riguarda la sicurezza Web) sia in base al client (quindi sappiamo che è legata alla sicurezza dell'host e della rete). Ogni traccia avrebbe più possibilità a parte.
In termini di strumenti che possono aiutarti, perché non controlli i dati in uscita sull'host malevolo, se disponi dei log: registri proxy, netflow, acquisizione di pacchetti, ecc.
Quelli dipingerebbero una buona immagine di ciò che è stato filtrato.