偽装 2.0 です。拡張子よりもっと簡単。こんなメールを送り、相手に「返信」を押させるだけ。

Subject: Phising
From: cardinfo@bank.example.com
Reply-To: cardinfo@bank.example.com <vuln@phising.example.com>

大至急、カード番号をご連絡ください。

安易に「返信」を押さないこと、返信する場合でも宛先は手で入力するか、アドレス帳内の信頼できるエントリから選択することが大切ですね。要はブラウザのアドレスバー並みに気をつけましょうということで。
ちなみに、ちゃんとIPA経由で Microsoft に連絡され、当然のことながら脆弱性ではないとの回答を頂いております。宛先欄が「表示名」のみでメールアドレスが表示されない MUA を利用している人は注意しましょう。