Jag förstår inte varför ni hänger upp er på varifrån mailet med uppmaningen kommer. Det spelar ju ingen som helst roll, dessutom som några har påpekat så är det busenkelt att fejka avsändaren.. Grundregeln är att aldrig lita på att mailet kommer från vad som påstås, om man inte sysslar med S/MIME-certifikat eller liknande på avsändarsidan.
Det viktiga är att man inte skickar uppgifter till en okänd mottagare, dvs kontrollera att mottagaradressen är den du tror att du ska skicka till, eller ännu hellre ta bort det som står där och skriv in den själv istället (det finns exempel på tecken som vid en första anblick ser likadana ut vid en enbart visuell granskning). Detta även om det ser ut som att avsändaren av uppmaningen är den rätta, ju känsligare information desto viktigare...
Bortsett från ovan så är det oseriöst av en finansiell organisation som Amex att begära in dylik information via e-post överhuvudtaget....