Das ist eine bekannte Betrugsmasche. Die Zahlungsaufforderung kannst du ignorieren.

Dass die E-Mail-Adresse des Absenders die deines Vaters ist, soll nur den Anschein erwecken, als hätte die Person Zugriff auf den E-Mail-Account, was nicht der Fall ist. In Wahrheit ist das nur ein gefälschter Absender, auch „E-Mail-Spoofing“ genannt: https://www.computerweekly.com/de/definition/E-Mail-Spoofing

Auch die Sache mit dem Passwort lässt sich einfach erklären. Das Passwort stammt in diesem Fall aus irgendeiner geknackten Datenbank. Vielleicht hast du auch schon mal mitbekommen, dass die Zugangsdaten aller Nutzer von diversen Websites geklaut wurden. Solche geklauten Daten werden dann an Cyberkriminelle verkauft oder direkt selbst verwendet, um damit Schaden anzurichten.

Wenn es sich lediglich um ein altes Passwort gehandelt hätte, dann hätte man im Prinzip auch nichts weiter machen müssen, denn weitere Zugangsdaten kennt der Verfasser der Mail nicht bzw. besteht die Möglichkeit nur dann, wenn andere Passwörter ebenfalls im Netz zu finden sind.

Ob die Daten deines Vaters irgendwo im Netz zu finden sind, kannst du übrigens hier überprüfen: https://haveibeenpwned.com/

Einfach dort die E-Mail-Adresse angeben.

Sollte das zutreffen, findest du etwas weiter unten auch genauere Informationen darüber, wie man an die Daten gekommen ist, sprich, über welche Website, die gehackt wurde. Auch wird angegeben, welche Daten noch entwendet worden sind. Ist etwas dabei, dann sollte man die Daten ändern. Das sollte man nun ohnehin auf allen Seiten machen, wo das Passwort aus der Mail verwendet wird. Aber vielleicht entdeckst du über die genannte Website noch mehr Seiten, auf denen man besser sein Passwort ändern sollte.