Wanneer heb je voor het laatst je mailboxregels gecontroleerd? Na toegang tot de mailbox, stellen aanvallers vaak regels in om onopgemerkt te opereren onder de gecompromitteerde identiteit. Aanvallers verkrijgen vaak toegang in Microsoft 365-omgevingen via het stelen van inloggegevens, password spraying, brute-force-aanvallen of misbruik van OAuth-toestemming. Eenmaal binnen richten aanvallers zich op persistentie en onopvallendheid in plaats van op directe verstoring. In plaats van malware of C2-infrastructuur in te zetten, maken ze misbruik van ingebouwde platformfuncties.
Een bijzonder effectieve techniek om persistentie te behouden, is het aanmaken van kwaadaardige mailboxregels. Hoewel mailboxregels zijn ontworpen om gebruikers te helpen bij het organiseren van e-mail, maken aanvallers er gebruik van om berichten te verwijderen, te verbergen, door te sturen of als gelezen te markeren. Hierdoor controleren ze de e-mailstroom in stilte zonder het slachtoffer te alarmeren.
Waarom dreigingsactoren mailboxregels misbruiken
Mailboxregels bieden onopvallendheid, automatisering en persistentie via de ingebouwde functionaliteit van M365. Hierdoor kunnen aanvallers verschillende doelstellingen realiseren, zoals:
- Succesvol verbergen van gegevensdiefstal: dreigingsactoren maken doorstuur- of omleidingsregels om automatisch kopieën van e-mails te verzenden naar externe, door de aanvaller gecontroleerde mailboxen. Vaak gebruiken ze specifieke trefwoorden (‘factuur’, ‘overschrijving’, ‘contract’) of afzenders om waardevolle gegevens te verzamelen en tegelijkertijd ruis te minimaliseren. Als alternatief worden e-mails verplaatst naar onopvallende mappen, zoals ‘archief’, ‘RSS-feeds’ of verborgen mappen, voor periodieke controle zonder dat er doorstuurindicatoren worden geactiveerd.
- Misleiden van slachtoffers en onderdrukken van e-mails: regels die berichten verwijderen, als gelezen markeren of verplaatsen zorgen voor het verbergen van beveiligingswaarschuwingen. Ook e-mails voor het resetten van wachtwoorden, MFA-meldingen, verdachte antwoorden en registraties bij externe diensten die de activiteiten van de aanvaller zouden kunnen blootleggen, vallen onder deze regels. Dit manipuleert de manier waarop het slachtoffer zijn eigen mailbox waarneemt, waardoor aanvallers tijd winnen om hun positie te versterken of frauduleuze operaties te voltooien.
- Persistentie zonder malware: regels voor automatisch doorsturen behouden het inzicht in een mailbox, zelfs na wachtwoordwijzigingen. Zolang de regel van kracht blijft, blijft informatie uitlekken, waardoor een cloud-native persistentiemechanisme ontstaat.
- Man-in-the-middle (MITM)-achtig gedrag: door specifieke correspondentie naar verborgen mappen te leiden, positioneren aanvallers zich binnen communicatiekanalen om:
Berichten van leveranciers, partners of klanten te onderscheppen voordat het slachtoffer ze te zien krijgt.
Zich voordoen als de eigenaar van de mailbox of zich mengen in bestaande berichtenthreads.
Het onderdrukken van antwoorden en meldingen die frauduleuze activiteiten aan het licht brengen.
De gang van zaken sturen door berichten selectief aan beide partijen te tonen of te verbergen.
In tegenstelling tot traditionele MITM-aanvallen, waarbij een bepaalde positie in het netwerk vereist is, worden hier vergelijkbare resultaten bereikt door gebruik te maken van legitieme platformfuncties. Het slachtoffer communiceert gewoon door, zonder te beseffen dat belangrijke gesprekken stilletjes worden onderschept en gemanipuleerd. Dit levert aanvallers een aanzienlijk tactisch voordeel op, terwijl de kans op ontdekking minimaal is.
De belangrijkste bevindingen van het onderzoek:
- Mailboxregels vormen een risicovolle tactiek die na een inbraak wordt toegepast. Aanvallers maken misbruik van ingebouwde mailboxregels voor het wegsluizen van gegevens, het behouden van toegang en het manipuleren van communicatie. In combinatie met diensten van derden en domein-spoofing kunnen aanvallers discussiethreads kapen, zich voordoen als slachtoffers en communicatie met leveranciers manipuleren, allemaal zonder dat dit op netwerkniveau wordt onderschept.
- Het komt vaker voor dan verwacht. Ongeveer 10% van de gehackte accounts in het vierde kwartaal van 2025 had kort na de eerste inbraak schadelijke mailboxregels aangemaakt.
- Aanvallers maken gebruik van herkenbare patronen. Kwaadaardige regels hebben vrijwel altijd minimale, onzinnige namen en richten zich vooral op acties zoals het verwijderen van berichten of het verplaatsen naar mappen die zelden worden gecontroleerd, zoals ‘archief’ of ‘RSS-abonnementen’. Aanvallers zijn lui en vertrouwen erop dat ze niet ontdekt zullen worden. Ze besteden weinig aandacht aan de namen van regels en kiezen in plaats daarvan voor snelle, willekeurige tekens.
- De instellingen blijven bestaan, ook na het opnieuw instellen van het wachtwoord. Regels voor het doorsturen en onderdrukken van e-mails blijven actief na het wijzigen van de inloggegevens, waardoor datalekken kunnen blijven plaatsvinden zolang de regel bestaat.
Risicobeperking
Sterke preventieve maatregelen verminderen zowel de kans op als de gevolgen van misbruik van mailboxregels aanzienlijk:
- Externe automatische doorsturing uitschakelen: blokkeer standaard automatische doorsturing naar externe adressen in Exchange Online. Hierdoor wordt een van de meest voorkomende mechanismen voor gegevensdiefstal en persistentie verstoord.
- Beleid voor voorwaardelijke toegang afdwingen: vereis multifactorauthenticatie (MFA), beperk de toegang op basis van apparaatconformiteit en locatie, beperk verouderde authenticatiemethoden en pas risicogebaseerde controles toe om het succes van phishing, password spraying en het hergebruiken van tokens te verminderen.
- Monitor OAuth-toestemmingen en wijzigingen in toestemmingen: houd nieuwe registraties van OAuth-apps, verleende toestemmingen en wijzigingen in rechten bij, met name als het gaat om Mail.Read, Mail.ReadWrite of offline_access, om aanhoudende toegang zonder wachtwoord op te sporen.
Stappen bij incidentrespons
Wanneer schadelijke mailboxregels worden ontdekt, moet de nadruk liggen op het indammen, verwijderen en intrekken van de toegang:
- Verwijder schadelijke regels: verwijder alle ongeautoriseerde regels voor de inbox en controleer of er geen verborgen of voorwaardelijke regels meer aanwezig zijn.
- Sessies intrekken en tokens vernieuwen: maak actieve sessies ongeldig en vernieuw tokens om te voorkomen dat er na het wijzigen van het wachtwoord nog steeds toegang blijft bestaan.
- Controleer de inlogactiviteit: analyseer de Entra ID-logboeken op verdachte IP-adressen, onbekende user agents, afwijkende locaties of risicovolle authenticatiegebeurtenissen die voorafgingen aan het aanmaken van de regel.
- Controleer OAuth-apps: verwijder onbekende of te vrijgevige apps die toegang hebben tot de mailbox en vraag opnieuw toestemming voor legitieme apps.