La verificación de la reputación de una URL es un enfoque útil pero, por supuesto, no cubre todos los malware o URL de phishing. El filtrado basado en URL es muy rápido en comparación con el análisis de la carga útil de respuesta. Esto permite un bloqueo temprano y barato del acceso a recursos maliciosos potenciales y, por lo tanto, también puede preservar más recursos para un análisis más profundo de sitios aún desconocidos.
La reputación generalmente no se realiza en base a una URL específica sino en el sitio, es decir, si hay una única infección de malware definida en este sitio, entonces todo el sitio (o incluso la dirección IP) obtiene una mala reputación. Esto tiene sentido porque si el atacante logra que una URL en el sitio distribuya malware, es muy probable que el atacante pueda controlar más de esta URL.
Los servicios de reputación tampoco se pueden engañar simplemente permitiendo que alguien como virustotal verifique la URL o incluso todo el sitio. En su lugar, estos servicios de reputación escanean la web por sí mismos y también obtienen información del usuario o información sobre sitios incorrectos al analizar el phishing o los correos de spam. También incluyen información histórica sobre los dominios, es decir, la antigüedad del dominio, la frecuencia con la que las direcciones IP han cambiado en el pasado, etc. Un servicio de reputación muy utilizado es la Búsqueda segura de Google, que está habilitada de forma predeterminada en Chrome y Firefox.
Esto no significa que los atacantes no intenten evitar estos servicios de reputación porque en realidad obstaculizan su negocio. Una forma es hackear sitios con buena reputación y usarlos para la distribución de malware. Por ejemplo, el sitio web de Jamie Olivers fue pirateado varias veces en 2015 y se utilizó para difundir malware.