Wanneer heb je voor het
laatst je mailboxregels gecontroleerd? Na toegang tot de mailbox,
stellen aanvallers vaak regels in om onopgemerkt te opereren onder de
gecompromitteerde identiteit. Aanvallers verkrijgen vaak toegang in
Microsoft 365-omgevingen via het stelen van inloggegevens, password
spraying, brute-force-aanvallen of misbruik van OAuth-toestemming.
Eenmaal binnen richten aanvallers zich op persistentie en
onopvallendheid in plaats van op directe verstoring. In plaats van
malware of C2-infrastructuur in te zetten, maken ze misbruik van
ingebouwde platformfuncties.
Een bijzonder
effectieve techniek om persistentie te behouden, is het aanmaken van
kwaadaardige mailboxregels. Hoewel mailboxregels zijn ontworpen om
gebruikers te helpen bij het organiseren van e-mail, maken aanvallers
er gebruik van om berichten te verwijderen, te verbergen, door te
sturen of als gelezen te markeren. Hierdoor controleren ze de
e-mailstroom in stilte zonder het slachtoffer te alarmeren.
Waarom
dreigingsactoren mailboxregels misbruiken
Mailboxregels bieden
onopvallendheid, automatisering en persistentie via de ingebouwde
functionaliteit van M365. Hierdoor kunnen aanvallers verschillende
doelstellingen realiseren, zoals:
- Succesvol verbergen
van gegevensdiefstal: dreigingsactoren maken doorstuur- of
omleidingsregels om automatisch kopieën van e-mails te verzenden
naar externe, door de aanvaller gecontroleerde mailboxen. Vaak
gebruiken ze specifieke trefwoorden (‘factuur’,
‘overschrijving’, ‘contract’) of afzenders om waardevolle
gegevens te verzamelen en tegelijkertijd ruis te minimaliseren.
Als alternatief worden e-mails verplaatst naar onopvallende
mappen, zoals ‘archief’, ‘RSS-feeds’ of verborgen
mappen, voor periodieke controle zonder dat er
doorstuurindicatoren worden geactiveerd.
- Misleiden van
slachtoffers en onderdrukken van e-mails: regels die
berichten verwijderen, als gelezen markeren of
verplaatsen zorgen voor
het verbergen van beveiligingswaarschuwingen.
Ook e-mails voor het resetten van wachtwoorden,
MFA-meldingen, verdachte antwoorden en registraties bij externe
diensten die de activiteiten van de aanvaller zouden
kunnen blootleggen, vallen onder deze regels. Dit
manipuleert de manier waarop het slachtoffer zijn eigen mailbox
waarneemt, waardoor aanvallers tijd winnen om hun positie te
versterken of frauduleuze operaties te voltooien.
- Persistentie zonder
malware: regels
voor automatisch doorsturen behouden het inzicht in een mailbox,
zelfs na wachtwoordwijzigingen. Zolang de regel van kracht blijft,
blijft informatie uitlekken, waardoor een cloud-native
persistentiemechanisme ontstaat.
- Man-in-the-middle
(MITM)-achtig gedrag:
door specifieke correspondentie naar verborgen mappen te leiden,
positioneren aanvallers zich binnen communicatiekanalen om:
- Berichten van
leveranciers, partners of klanten te onderscheppen voordat het
slachtoffer ze te zien krijgt.
- Zich voordoen als de
eigenaar van de mailbox of zich mengen in
bestaande berichtenthreads.
- Het onderdrukken van
antwoorden en meldingen die frauduleuze activiteiten aan het
licht brengen.
- De gang van zaken
sturen door berichten selectief aan beide partijen te tonen of te
verbergen.
In tegenstelling tot
traditionele MITM-aanvallen, waarbij een bepaalde positie in het
netwerk vereist is, worden hier vergelijkbare resultaten bereikt door
gebruik te maken van legitieme platformfuncties. Het slachtoffer
communiceert gewoon door, zonder te beseffen dat belangrijke gesprekken
stilletjes worden onderschept en gemanipuleerd. Dit levert aanvallers
een aanzienlijk tactisch voordeel op, terwijl de kans op ontdekking
minimaal is.
De
belangrijkste bevindingen van het onderzoek:
- Mailboxregels vormen
een risicovolle tactiek die na een inbraak wordt toegepast. Aanvallers maken
misbruik van ingebouwde mailboxregels voor het wegsluizen van
gegevens, het behouden van toegang en het manipuleren van
communicatie. In combinatie met diensten van derden en
domein-spoofing kunnen aanvallers discussiethreads kapen,
zich voordoen als slachtoffers en communicatie met leveranciers
manipuleren, allemaal zonder dat dit op netwerkniveau wordt
onderschept.
- Het komt vaker voor dan
verwacht.
Ongeveer 10% van de gehackte accounts in het vierde kwartaal van
2025 had kort na de eerste inbraak schadelijke mailboxregels
aangemaakt.
- Aanvallers maken
gebruik van herkenbare patronen. Kwaadaardige regels
hebben vrijwel altijd minimale, onzinnige namen en richten
zich vooral op acties zoals het verwijderen van berichten of het
verplaatsen naar mappen die zelden worden gecontroleerd,
zoals ‘archief’ of ‘RSS-abonnementen’. Aanvallers zijn lui en
vertrouwen erop dat ze niet ontdekt zullen worden. Ze besteden
weinig aandacht aan de namen van regels en kiezen in plaats
daarvan voor snelle, willekeurige tekens.
- De instellingen blijven
bestaan, ook na het opnieuw instellen van het wachtwoord. Regels voor het
doorsturen en onderdrukken van e-mails blijven actief na het
wijzigen van de inloggegevens,
waardoor datalekken kunnen blijven plaatsvinden zolang
de regel bestaat.
Risicobeperking
Sterke preventieve
maatregelen verminderen zowel de kans op als de gevolgen van misbruik
van mailboxregels aanzienlijk:
- Externe automatische
doorsturing uitschakelen: blokkeer standaard automatische doorsturing
naar externe adressen in Exchange Online. Hierdoor wordt een van
de meest voorkomende mechanismen voor gegevensdiefstal en
persistentie verstoord.
- Beleid voor
voorwaardelijke toegang afdwingen:
vereis multifactorauthenticatie (MFA), beperk de toegang
op basis van apparaatconformiteit en locatie, beperk
verouderde authenticatiemethoden en
pas risicogebaseerde controles toe om het succes
van phishing, password spraying en het hergebruiken
van tokens te verminderen.
- Monitor OAuth-toestemmingen
en wijzigingen in toestemmingen: houd nieuwe
registraties van OAuth-apps, verleende toestemmingen en
wijzigingen in rechten bij, met name als het gaat
om Mail.Read, Mail.ReadWrite of offline_access,
om aanhoudende toegang zonder wachtwoord op te sporen.
Stappen
bij incidentrespons
Wanneer schadelijke
mailboxregels worden ontdekt, moet de nadruk liggen op het indammen,
verwijderen en intrekken van de toegang:
- Verwijder schadelijke
regels: verwijder alle ongeautoriseerde regels voor
de inbox en controleer of er geen verborgen of
voorwaardelijke regels meer aanwezig zijn.
- Sessies intrekken en
tokens vernieuwen: maak actieve sessies ongeldig en vernieuw
tokens om te voorkomen dat er na het wijzigen van het wachtwoord
nog steeds toegang blijft bestaan.
- Controleer de
inlogactiviteit: analyseer de Entra ID-logboeken op
verdachte IP-adressen, onbekende user agents, afwijkende
locaties of risicovolle authenticatiegebeurtenissen die
voorafgingen aan het aanmaken van de regel.
- Controleer OAuth-apps:
verwijder onbekende of te vrijgevige apps die toegang hebben tot
de mailbox en vraag opnieuw toestemming voor legitieme apps.
Deze stappen moeten als
verplicht worden beschouwd, zelfs als regels in de mailbox de enige
zichtbare aanwijzing voor een inbreuk lijken te zijn.
Klik
hier om het volledige onderzoek te lezen.
Noot
voor de redactie
Disclaimer
Productnamen,
logo’s en merken van derden zijn eigendom van hun respectieve
eigenaren. Verwijzingen naar diensten van derden (bijvoorbeeld
Microsoft 365/Outlook, Zoho Mail) dienen uitsluitend ter
identificatie en impliceren geen goedkeuring of banden met deze
diensten.