Злоумышленники могут искать в общедоступных записях WHOIS информацию о своих жертвах, чтобы использовать ее для атак. Данные WHOIS хранятся в региональных интернет-реестрах (RIR), которые отвечают за распределение интернет-ресурсов, таких как доменные имена. Любое лицо может запросить у серверов WHOIS информацию о зарегистрированном домене, включая назначенные блоки IP-адресов, контактные данные и DNS-серверы.

Злоумышленники могут искать в данных WHOIS информацию, полезную для организации атак. Они могут собирать информацию о потенциальных жертвах с помощью онлайн-ресурсов или утилит командной строки, предназначенных для поиска данных WHOIS. Информация из этих источников может открыть дополнительные возможности для разведки (например, активного сканирования или фишинга с целью сбора сведений) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа или доверительных отношений).