Skan aktywny renderuje stronę w przeglądarce bez interakcji z formularzami. Zbiera zrenderowany DOM, screenshot i log sieciowy.

Skan pasywny pobiera HTML bez wykonywania JavaScript. Jest szybszy, ale może pominąć treści dynamiczne.

Narzędzie sprawdza wiek domeny (RDAP), lokalizację serwera (IP geolokalizacja) i dostawcę (ASN). Młode domeny (< 30 dni) często wskazują na strony phishingowe. Informacje o infrastrukturze pomagają w atrybucji.

Algorytm sprawdza, czy strona podszywa się pod znaną markę (np. Facebook, Microsoft, mBank), ale domena nie należy do tej marki. To silny wskaźnik phishingu.

Wykrywanie domen generowanych automatycznie - typowych dla kampanii malware/phishing. Wysoka entropia (losowość) i podejrzane wzorce mogą wskazywać na automatycznie generowane domeny.

Analiza struktury linków na stronie. Strony phishingowe często mają puste linki (#) lub tylko zewnętrzne formularze, podczas gdy menu jest nieaktywne.

Sprawdzenie domeny i IP w publicznych bazach phishingu/malware (URLhaus, VirusTotal, AbuseIPDB).

Wykrywanie frameworków, bibliotek i technologii użytych na stronie (WordPress, React, jQuery, itp.).

Wykrywanie adresów Bitcoin, Ethereum, USDT i innych kryptowalut na stronie.

Znalezione subdomeny dla domeny głównej. Mogą ujawnić dodatkową infrastrukturę używaną przez przestępców.