El correo que recibe el usuario es el siguiente:
Si se presiona sobre el enlace se ingresa al sitio falso alojado en un servidor del cual se puede ver la dirección IP:
Si se visualiza el código fuente de esta página, puede verse el sitio y el script en el cual se graban los datos obtenidos:

Este sitio, además aloja los datos robados en archivos de texto, ya que evidentemente estos delincuentillos son principiantes y amateurs:
Como nota de color, en este archivo también hay insultos varios, de los usuarios que se percatan del engaño y dejan sus mensajes al ladrón.
El sitio en donde se alojan los scripts aparece indezado en Google con otro objetivo distinto al que tiene actualmente:
El dominio se encuentra registrado en CDMON que permite el registro gratuito y ya ha sido denunciado por Segu-Info y seguramente dentro de las próximas horas será dado de baja.
Actualización 09-ago: CDMON ya nos ha informado que el sitio fue eliminado de sus registros.
Cristian de la Redacción de Segu-Info




Sin nombrar que el sitio donde aloja los logos es otro fake para infectar con PDF
ResponderBorrarSaludos,
AnonimoK
Efectivamente, y por eso ya hemos dado de baja el sitio :)
ResponderBorrarCristian