¿Dónde? En la dirección del remitente, por supuesto. Imagina, por ejemplo, que recibes un correo (supuestamente) de Google donde te piden la contraseña a cambio de que no la den de baja por revisiones por sobrecarga de servidores, o algo así. Ese correo debería llegar de algún dominio de Google, ¿no? Por lo tanto, el correo remitente debería tener como dominio @google.com, @gmail.com o similar. Pero sorpresa: el dominio es google.grtfd.com. Y no, eso no es Google.
Eso es un dominio, grtfd.com, que se ha abierto un subdominio llamado Google. Es algo que cualquier persona con un servicio de hosting web puede hacer para enviar correos engañosos. O quizás es @googIe.com en vez de @google.com. No, no me he equivocado: el primero tiene una "i" mayúscula en vez de una "L", para que sea confundida con el dominio oficial. Un buen truco para detectarlo es copiar la dirección de correo en una fuente de ancho fijo (como la clásica Courier), donde las letras se distinguen mejor.
O también pueden utilizar un redireccionador: fulanito@gmail.com vía jjguygftx@grtfd.com. No, eso tampoco es Gmail. Hay que mirar siempre el origen de los mensajes, aunque si es uno de esos correos que te piden la contraseña de algún servicio deberías descartarlos automáticamente si no lo hace ya tu cliente de correo. Nadie, absolutamente nadie puede pedir directamente la contraseña que tienes en el servicio.
