Det är synnerligen enkelt att förfalska avsändare för epostmeddelanden. Anledningen till att det är så enkelt är att det tekniska protokollet som anger kraven på epost är begränsat och gammalt. Avsändaren anger själv vilket namn och vilken epostadress som man vill ska följa med ett meddelande. Normalt sett sköter Outlook, Gmail eller någon annan applikation detta åt användare och man behöver inte manuellt göra det, men som bedragare är det precis det man vill.

”Under ytan” för ett epostmeddelande finns det flera fält som en bedragare kan använda sig av. ”Reply-to” anger den adress som ett svar ska skickas till, och den här adressen behöver inte vara samma som ”from”-fältet, dvs man kan skicka ett meddelande från ”stefan@luras.se”, men med en ”reply-to” till ”bill.gates@microsoft.com”. Om mottagaren svarar på ett sådant meddelande skickas alltså svaret till Bill Gates på Microsoft.

Man kan på samma sätt redigera ”from”-fältet i ett epostmeddelande. Det innebär att ett meddelande som skickats från ”stefan@luras.se” kan se ut som att det kommer från Bill Gates på Microsoft.

Ett vanligt bedrägeriförsök mot föreningar och företag är att bedragaren letar upp personer i ledande ställning online, tex på företagets eller föreningens hemsida, eller via Allabolag.se. Därefter skickar man ett meddelande från adressen ”förnamn.efternamn@företagetsdomän.se” så att det ser legitimt ut.

Ett meddelande från företagets VD eller CFO till någon chef inom företaget kan innehålla en uppmaning att betala en faktura, att teckna ett avtal eller göra någonting annat bedrägligt. På samma sätt kan man förfalska en kunds epost och skicka in en faktura som kan se äkta ut.

En begränsning för bedrägeriet är om bedragaren vill ha någon form av svar eller bekräftelse och de måste då ange sin verkliga adress i ”reply-to” eller ”from”-fälten på meddelandet. De flesta epostprogram, som Outlook, kan visa den verkliga adressen genom att man dubbelklickar på avsändaren när man har meddelandet öppet. Då man kan lätt se att det är ett bedrägeriförsök. Om exempelvis VDns namn är Stefan och förväntad avsändare är ”stefan@luras.se” och ett dubbelklick visar att verklig avsändare eller ”reply-to” är ”mike_123@gmail.com” så kan man vara säker på att det är ett bedrägeriförsök.

Många epostverktyg säljer säkerhetsuppgraderingar som hjälper till att hitta den här typen av bedrägerier, men långt ifrån alla inkluderar det i sin vanligaste form.