La raccolta di indirizzi email è una questione molto vecchia. Ad oggi di solito si trovano grossi dump contenenti milioni di indirizzi email attivi da data leak gratuiti e non, senza dimenticare i siti che condividono queste informazioni con aziende terze, è sufficiente che qualcuno in questa catena perda o venda i dati, poi ci sono mailing list, newsletter... Potenzialmente qualunque sito a cui dai la tua mail in futuro potrebbe finire in una lista pubblica, se ci tieni a limitare lo spam sulla mail principale inseriscila solo su siti necessari e negando il consenso a marketing e il resto (nonostante tutto potrebbe non bastare ad avere 0 spam).
Qua ovviamente parliamo di phishing su larga scala, invece si chiama spear phishing quando è mirato solo a te o a un piccolo gruppo di persone (es. dipendenti di un'azienda), in questi casi ricavano le email attraverso information gathering, una fase cruciale dell'attacco, e per decidere l'esca giusta, più questa fase è accurata più sarà facile che la mail sia tanto credibile da fregare qualcuno.
Qua ovviamente parliamo di phishing su larga scala, invece si chiama spear phishing quando è mirato solo a te o a un piccolo gruppo di persone (es. dipendenti di un'azienda), in questi casi ricavano le email attraverso information gathering, una fase cruciale dell'attacco, e per decidere l'esca giusta, più questa fase è accurata più sarà facile che la mail sia tanto credibile da fregare qualcuno.