Se puede llevar a cabo desde dentro de la LAN o desde un entorno externo utilizando troyanos.
[1] Los correos electrónicos de spam y phishing suelen utilizar este engaño para inducir a error al destinatario sobre el origen del mensaje.
[2][3] Cuando se envía un correo electrónico SMTP, la conexión inicial ofrece dos piezas de información de la dirección: En conjunto, se refieren a éstos a veces como el direccionamiento del "sobre", por analogía con un sobre de papel tradicional.
[6] Malware como Klez y Sober y muchos ejemplos más modernos a menudo buscan direcciones de correo electrónico en el ordenador que han infectado, y utilizan esas direcciones tanto como objetivos para el correo electrónico, como para crear campos "FROM" creíbles en los correos electrónicos que forjan, por lo que estos correos son más propensos a ser abiertos.
Por ejemplo: En este caso, incluso si el sistema de Bob detecta el correo entrante como conteniendo malware, él ve a la fuente como Charlie, a pesar de que realmente vino de la computadora de Alice; Mientras tanto Alice permanece inconsciente de que su ordenador ha sido infectado con un gusano.