Il mio primo passo sarebbe controllare le intestazioni della posta e vedere se proviene effettivamente da un account GMail. C'è una buona possibilità che le informazioni del tuo amico siano state cancellate da GitHub e che le e-mail di phishing vengano inviate senza che lui sia coinvolto o compromesso in alcun modo. Ricevo regolarmente e-mail di phishing da me stesso (più volte al mese, a volte anche più volte alla settimana) perché ho una e-mail pubblicamente elencata su diversi siti web ragionevolmente grandi.
È banale far sembrare che un'e-mail provenga da qualcuno che non lo è o persino da un dominio che non lo è. Ciò non richiede alcuna partecipazione sul server o sulla parte dell'utente. L'e-mail è intrinsecamente insicura e mentre ci sono tecnologie che potrebbero prevenire molti di questi problemi, non sono ampiamente adottati o implementati perché si tratta di un problema di uova e galline. L'utilizzo della tecnologia potrebbe impedire il passaggio di messaggi legittimi e, in generale, le persone si arrabbiano molto quando viene interrotto il prosciutto piuttosto che quando lo spam (anche malevolo) viene superato.
La soluzione migliore è quella di segnalare l'e-mail al tuo amico (oa chiunque sia stato impersonato), al tuo fornitore di posta e se la posta in realtà proviene da un account Gmail, quindi a Gmail. Se non capisci come determinare il server mittente dall'intestazione della tua posta, potresti spedirlo a Gmail e potrebbero facilmente capirlo, anche se potrebbe non esserci nulla che potrebbero fare al riguardo se ci fossero dei server non coinvolto.
Generalmente la cosa migliore da fare in questo caso (come quella che viene impersonata) è di rendere un annuncio di servizio pubblico sulla lista che viene effettuato per informarlo dei tentativi di phishing.