Spoofing zazwyczaj opiera się na dwóch elementach – samym spoofie, takim jak sfałszowany e-mail lub strona internetowa, a następnie na aspekcie socjotechnicznym, który nakłania ofiary do podjęcia działań. Na przykład, spooferzy mogą wysłać e-mail, który wydaje się pochodzić od zaufanego starszego współpracownika lub kierownika, prosząc o przelanie pieniędzy online i przedstawiając przekonujące uzasadnienie tej prośby. Spooferzy często wiedzą, za jakie sznurki pociągnąć, aby zmanipulować ofiarę do podjęcia pożądanego działania – w tym przypadku autoryzowania fałszywego przelewu – bez wzbudzania podejrzeń.
Udany atak spoofingowy może mieć poważne konsekwencje – w tym kradzież informacji osobistych lub firmowych, zbieranie danych uwierzytelniających do wykorzystania w kolejnych atakach, rozprzestrzenianie złośliwego oprogramowania, uzyskanie nieautoryzowanego dostępu do sieci lub ominięcie kontroli dostępu. W przypadku firm, ataki spoofingowe mogą czasami prowadzić do ataków typu ransomware lub szkodliwych i kosztownych naruszeń danych.
Istnieje wiele różnych rodzajów ataków spoofingowych – te prostsze dotyczą e-maili, stron internetowych i rozmów telefonicznych. Bardziej złożone ataki techniczne dotyczą adresów IP, protokołu ARP (Address Resolution Protocol) oraz serwerów DNS (Domain Name System).
