Il suo account potrebbe essere stato violato, ma non necessariamente. È probabile che l'email sia falsa e l'accesso all'account non è necessario per creare una email falsificata.
Modi plausibili può succedere:
- Un'e-mail è indirizzata a un numero elevato di destinatari, che include sia te che i tuoi amici. Fuori da tale elenco, l'account di un destinatario è compromesso. L'utente malintenzionato (o un bot automatizzato scritto dall'hacker) vede l'elenco dei destinatari di quel messaggio e manda in spoofing un messaggio da una persona (il tuo amico) al resto.
- Qualcuno che ha sia tu che il tuo amico come contatti è vittima di un compromesso sull'account. L'attaccante (o bot automatizzato) vede te e il tuo amico nei contatti e decide di falsificare un messaggio dal tuo amico.
Quindi ci sono buone probabilità che l'account di qualcuno sia stato compromesso, ma potrebbe non essere stato del tuo amico. Che qualcuno potrebbe essere solo lontanamente collegato a entrambi.
Dì al tuo amico di cambiare la sua password e le domande di sicurezza comunque, ma non è motivo di panico a meno che non ci siano prove che il suo account sia stato specificamente compromesso.