teo987 il mittente era una piccola ditta della zona
Magari anche no. Tipicamente, quello sul quale l'utente focalizza l'attenzione è il "nome mittente visualizzato" (in grassetto sotto) e non l'effettivo indirizzo email di provenienza (subito a destra), qualcosa del tipo:
Quella è un'informazione che può essere impostata a piacere, anche senza conoscenze tecniche particolari, con un qualunque client di posta elettronica. L'indirizzo email di effettiva provenienza a sua volta appartiene ad una vittima inconsapevole.
In ogni caso, se un archivio protetto da password e la password stessa sono nella medesima email, al 99,99% si tratta di qualcosa di cui diffidare. Il perché della password l'ha spiegato matteocontrini mentre io aggiungerò che, se si ha bisogno di mandare un archivio protetto da password a qualcuno, detta password va assolutamente trasmessa con un mezzo diverso, quindi non solo non va messa nella stessa email che contiene l'archivio protetto, ma non va nemmeno messa in un'email separata. La si trasmette a voce, con un messaggio WhatsApp/Telegram etc. e via dicendo.
