La explicación más probable dada por la descripción de este laico es que el "correo del buen amigo" contenía un enlace a un sitio que explotó un error en su navegador para instalar algún malware.
Si este no es un ataque dirigido, hay una buena probabilidad de que el malware sea un conocido que el software antivirus estándar pueda encontrar y limpiar. Es posible que el malware haya leído la libreta de direcciones de su amigo localmente, o que esté en una conexión al servidor de correo para leer su libreta de direcciones allí. Si no eres demasiado paranoico y logras identificar el malware, realiza la limpieza. Si se sabe que el malware recopila contraseñas, verifique todas las contraseñas y cuentas que se hayan violado, como explica Iszi .
Si este puede ser un ataque dirigido (probablemente si el Sr. Doe es un gerente bancario o activista político, no es muy probable que lo haga un Sr. Doe al azar), entonces no puede hacer ninguna suposición. Incluso si un antivirus encuentra un malware que reconoce, este podría ser un malware no estándar que se hace pasar por uno conocido (pero, ¿por qué anunciaría su presencia en absoluto?).
El hecho de que el malware estuviera en una empresa relacionada con el Sr. Doe no es necesariamente una indicación de un ataque dirigido. Simplemente podría ser la forma de propagación del malware, tratando de llegar a las personas a través de canales en los que es más probable que confíen.
Compruebe el sitio de la compañía de donde cree que proviene el malware. (No use un navegador vulnerable, por supuesto, o solo en una máquina virtual con conectividad restringida). Si encuentra una página sospechosa, infórmelo.
No hay mucho que pueda hacer el proveedor de correo web, excepto que el señor Doe restablezca su contraseña. Es poco probable que haya fallado la seguridad del correo web: el compromiso se produjo en la máquina cliente.
Otra cosa que no mencionas es verificar de dónde proviene el correo con el enlace. Si provino del buen amigo, entonces el buen amigo también se ha infectado con el malware. No espere que el Sr. Doe pueda decirle a un correo electrónico falso o incluso que entienda el concepto.
Para evitar la repetición, como mínimo, instale un antivirus actualizado (suponiendo que el Sr. Doe está ejecutando Windows), y use una versión actualizada de Firefox o Chrome para navegar por la web.