На самом деле больше похоже на XSRF. Т.е. сервер site.com получает URL, идет по нему, забирает контент и отдает его уже тебе.

посмотри в логах своего веб сервера на hack.com с каким юзер-агентом он приходит к тебе. можно попробовать в ответ на запрос ему отдать 401-й код - вдруг прилетят авторизационные данные. Если бы была винда - смог бы отрелеиться.