Wanneer heb je voor het
\nlaatst je mailboxregels gecontroleerd? Na toegang tot de mailbox,
\nstellen aanvallers vaak regels in om onopgemerkt te opereren onder de
\ngecompromitteerde identiteit. Aanvallers verkrijgen vaak toegang in
\nMicrosoft 365-omgevingen via het stelen van inloggegevens, password
\nspraying, brute-force-aanvallen of misbruik van OAuth-toestemming.
\nEenmaal binnen richten aanvallers zich op persistentie en
\nonopvallendheid in plaats van op directe verstoring. In plaats van
\nmalware of C2-infrastructuur in te zetten, maken ze misbruik van
\ningebouwde platformfuncties. <\/p>\n
Een bijzonder
\neffectieve techniek om persistentie te behouden, is het aanmaken van
\nkwaadaardige mailboxregels. Hoewel mailboxregels zijn ontworpen om
\ngebruikers te helpen bij het organiseren van e-mail, maken aanvallers
\ner gebruik van om berichten te verwijderen, te verbergen, door te
\nsturen of als gelezen te markeren. Hierdoor controleren ze de
\ne-mailstroom in stilte zonder het slachtoffer te alarmeren. <\/p>\n
Waarom
\ndreigingsactoren mailboxregels misbruiken
\n
\nMailboxregels bieden
\nonopvallendheid, automatisering en persistentie via de ingebouwde
\nfunctionaliteit van M365. Hierdoor kunnen aanvallers verschillende
\ndoelstellingen realiseren, zoals:
\n<\/p>\n
\n Succesvol verbergen
\n van gegevensdiefstal: dreigingsactoren maken doorstuur- of
\n omleidingsregels om automatisch kopie\u00ebn van e-mails te verzenden
\n naar externe, door de aanvaller gecontroleerde mailboxen. Vaak
\n gebruiken ze specifieke trefwoorden (\u2018factuur\u2019,
\n \u2018overschrijving\u2019, \u2018contract\u2019) of afzenders om waardevolle
\n gegevens te verzamelen en tegelijkertijd ruis te minimaliseren.
\n Als alternatief worden e-mails verplaatst naar onopvallende
\n mappen, zoals \u2018archief\u2019, \u2018RSS-feeds\u2019 of verborgen
\n mappen, voor periodieke controle zonder dat er
\n doorstuurindicatoren worden geactiveerd.
\n Misleiden van
\n slachtoffers en onderdrukken van e-mails: regels die
\n berichten verwijderen, als gelezen markeren of
\n verplaatsen zorgen voor
\n het verbergen van beveiligingswaarschuwingen.
\n Ook e-mails voor het resetten van wachtwoorden,
\n MFA-meldingen, verdachte antwoorden en registraties bij externe
\n diensten die de activiteiten van de aanvaller zouden
\n kunnen blootleggen, vallen onder deze regels. Dit
\n manipuleert de manier waarop het slachtoffer zijn eigen mailbox
\n waarneemt, waardoor aanvallers tijd winnen om hun positie te
\n versterken of frauduleuze operaties te voltooien.
\n Persistentie zonder
\n malware: regels
\n voor automatisch doorsturen behouden het inzicht in een mailbox,
\n zelfs na wachtwoordwijzigingen. Zolang de regel van kracht blijft,
\n blijft informatie uitlekken, waardoor een cloud-native
\n persistentiemechanisme ontstaat.
\n Man-in-the-middle
\n (MITM)-achtig gedrag:
\n door specifieke correspondentie naar verborgen mappen te leiden,
\n positioneren aanvallers zich binnen communicatiekanalen om:
\n
\n Berichten van
\n leveranciers, partners of klanten te onderscheppen voordat het
\n slachtoffer ze te zien krijgt.
\n Zich voordoen als de
\n eigenaar van de mailbox of zich mengen in
\n bestaande berichtenthreads.
\n Het onderdrukken van
\n antwoorden en meldingen die frauduleuze activiteiten aan het
\n licht brengen.
\n De gang van zaken
\n sturen door berichten selectief aan beide partijen te tonen of te
\n verbergen.
\n
<\/p>\n
In tegenstelling tot
\ntraditionele MITM-aanvallen, waarbij een bepaalde positie in het
\nnetwerk vereist is, worden hier vergelijkbare resultaten bereikt door
\ngebruik te maken van legitieme platformfuncties. Het slachtoffer
\ncommuniceert gewoon door, zonder te beseffen dat belangrijke gesprekken
\nstilletjes worden onderschept en gemanipuleerd. Dit levert aanvallers
\neen aanzienlijk tactisch voordeel op, terwijl de kans op ontdekking
\nminimaal is. <\/p>\n
De
\nbelangrijkste bevindingen van het onderzoek:
\n<\/p>\n
\n Mailboxregels vormen
\n een risicovolle tactiek die na een inbraak wordt toegepast. Aanvallers maken
\n misbruik van ingebouwde mailboxregels voor het wegsluizen van
\n gegevens, het behouden van toegang en het manipuleren van
\n communicatie. In combinatie met diensten van derden en
\n domein-spoofing kunnen aanvallers discussiethreads kapen,
\n zich voordoen als slachtoffers en communicatie met leveranciers
\n manipuleren, allemaal zonder dat dit op netwerkniveau wordt
\n onderschept.
\n Het komt vaker voor dan
\n verwacht.
\n Ongeveer 10% van de gehackte accounts in het vierde kwartaal van
\n 2025 had kort na de eerste inbraak schadelijke mailboxregels
\n aangemaakt.
\n Aanvallers maken
\n gebruik van herkenbare patronen. Kwaadaardige regels
\n hebben vrijwel altijd minimale, onzinnige namen en richten
\n zich vooral op acties zoals het verwijderen van berichten of het
\n verplaatsen naar mappen die zelden worden gecontroleerd,
\n zoals \u2018archief\u2019 of \u2018RSS-abonnementen\u2019. Aanvallers zijn lui en
\n vertrouwen erop dat ze niet ontdekt zullen worden. Ze besteden
\n weinig aandacht aan de namen van regels en kiezen in plaats
\n daarvan voor snelle, willekeurige tekens.
\n De instellingen blijven
\n bestaan, ook na het opnieuw instellen van het wachtwoord. Regels voor het
\n doorsturen en onderdrukken van e-mails blijven actief na het
\n wijzigen van de inloggegevens,
\n waardoor datalekken kunnen blijven plaatsvinden zolang
\n de regel bestaat.
<\/p>\n
Risicobeperking
\n
\nSterke preventieve
\nmaatregelen verminderen zowel de kans op als de gevolgen van misbruik
\nvan mailboxregels aanzienlijk:
\n
\n Externe automatische
\n doorsturing uitschakelen: blokkeer standaard automatische doorsturing
\n naar externe adressen in Exchange Online. Hierdoor wordt een van
\n de meest voorkomende mechanismen voor gegevensdiefstal en
\n persistentie verstoord.
\n Beleid voor
\n voorwaardelijke toegang afdwingen:
\n vereis multifactorauthenticatie (MFA), beperk de toegang
\n op basis van apparaatconformiteit en locatie, beperk
\n verouderde authenticatiemethoden en
\n pas risicogebaseerde controles toe om het succes
\n van phishing, password spraying en het hergebruiken
\n van tokens te verminderen.
\n Monitor OAuth-toestemmingen
\n en wijzigingen in toestemmingen: houd nieuwe
\n registraties van OAuth-apps, verleende toestemmingen en
\n wijzigingen in rechten bij, met name als het gaat
\n om Mail.Read, Mail.ReadWrite of offline_access,
\n om aanhoudende toegang zonder wachtwoord op te sporen.
<\/p>\n
Stappen
\nbij incidentrespons
\n
\nWanneer schadelijke
\nmailboxregels worden ontdekt, moet de nadruk liggen op het indammen,
\nverwijderen en intrekken van de toegang:
\n
\n Verwijder schadelijke
\n regels: verwijder alle ongeautoriseerde regels voor
\n de inbox en controleer of er geen verborgen of
\n voorwaardelijke regels meer aanwezig zijn.
\n Sessies intrekken en
\n tokens vernieuwen: maak actieve sessies ongeldig en vernieuw
\n tokens om te voorkomen dat er na het wijzigen van het wachtwoord
\n nog steeds toegang blijft bestaan.
\n Controleer de
\n inlogactiviteit: analyseer de Entra ID-logboeken op
\n verdachte IP-adressen, onbekende user agents, afwijkende
\n locaties of risicovolle authenticatiegebeurtenissen die
\n voorafgingen aan het aanmaken van de regel.
\n Controleer OAuth-apps:
\n verwijder onbekende of te vrijgevige apps die toegang hebben tot
\n de mailbox en vraag opnieuw toestemming voor legitieme apps.
<\/p>\n
Deze stappen moeten als
\nverplicht worden beschouwd, zelfs als regels in de mailbox de enige
\nzichtbare aanwijzing voor een inbreuk lijken te zijn. <\/p>\n