Злоумышленники могут собирать информацию о сетевых доменах жертв, чтобы использовать ее для атак. Информация о доменах и их свойствах может включать сведения о том, какими доменами владеет жертва, административные данные (например, названия регистраторов и имена), а также более полезные в планировании атаки сведения, в том числе контакты (адреса электронной почты и телефонные номера), рабочие адреса и серверы имен.

Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем активного сканирования или фишинга с целью сбора сведений. Информация о доменах жертвы и их свойствах также может быть найдена в интернете или других доступных источниках, например через службы WHOIS. Если используются сторонние облачные сервисы, эта информация может быть получена через общедоступные API, такие как GetUserRealm и службы автообнаружения в Microsoft 365. Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска технической информации в общедоступных источниках, поиска на общедоступных сайтах или фишинга с целью сбора сведений) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем фишинга).