È una rappresentazione hash (in SHA256) della risorsa in questione, potenzialmente dannosa. Controllano e monitorano altri domini / URL in cui la stessa risorsa è stata vista o segnalata, come indicatori di compromissione (IoC).
Se rilevano la stessa risorsa nell'URL / server di destinazione, la segnaleranno (cioè la presenza di un noto file malware rappresentato da un hash SHA-256, che in teoria non dovrebbe cambiare poiché è una permutazione a botola )
VirusTotal fa qualcosa di simile, aggiunge anche il fatto che il servizio urlscan.io utilizza l'API Navigazione sicura di Google:
The Safe Browsing lists consist of variable length SHA256 hashes (see
List Contents). To check a URL against a Safe Browsing list (either
locally or on the server), clients must first compute the hash prefix
of that URL.
When using the Lookup API to check URLs, the client sends the actual
URL in the request and Safe Browsing server converts the URL to a hash
before performing the check (see Checking URLs for the Lookup API).
https://developers.google.com/safe-browsing/v4/lists