Mailboxregels in O365: een tactiek na inbraak bij accountovername in de cloud

Aanvallers opereren stil binnen gecompromitteerde accounts

Na toegang tot een mailbox stellen aanvallers vaak regels in om onder de radar te opereren binnen de gecompromitteerde identiteit. Toegang tot Microsoft 365-omgevingen wordt in veel gevallen verkregen via gestolen inloggegevens, password spraying, brute force-aanvallen of misbruik van OAuth-toestemming. Zodra aanvallers binnen zijn, verschuift de focus van directe verstoring naar persistentie en onopvallendheid. In plaats van malware of command and control infrastructuur te gebruiken, maken zij slim gebruik van ingebouwde platformfunctionaliteiten.

Een bijzonder effectieve techniek om die persistentie te behouden, is het aanmaken van kwaadaardige mailboxregels. Deze regels zijn oorspronkelijk bedoeld om e-mail te organiseren, maar worden door aanvallers ingezet om berichten te verwijderen, te verbergen, door te sturen of automatisch als gelezen te markeren. Hierdoor kunnen zij de volledige e-mailstroom manipuleren zonder dat het slachtoffer iets doorheeft. Dit maakt mailboxregels tot een stille maar krachtige aanvalstechniek.

Waarom mailboxregels zo aantrekkelijk zijn voor dreigingsactoren

Mailboxregels bieden een combinatie van onopvallendheid, automatisering en langdurige toegang dankzij de ingebouwde functionaliteit van Microsoft 365. Daardoor kunnen aanvallers meerdere doelstellingen tegelijk realiseren zonder extra tooling te hoeven inzetten. Een belangrijk doel is het verbergen van gegevensdiefstal door middel van doorstuur- of omleidingsregels. Hiermee worden automatisch kopieën van e-mails verzonden naar externe mailboxen die onder controle staan van de aanvaller.

Vaak richten deze regels zich op specifieke trefwoorden zoals factuur, overschrijving of contract, of op bepaalde afzenders om waardevolle informatie te verzamelen en ruis te beperken. In andere gevallen worden e-mails verplaatst naar minder opvallende mappen zoals archief of RSS-feeds, zodat ze later ongemerkt kunnen worden ingezien. Tegelijkertijd worden slachtoffers misleid doordat belangrijke berichten verdwijnen, als gelezen worden gemarkeerd of worden verplaatst. Denk hierbij aan beveiligingswaarschuwingen, wachtwoordresetmails, MFA-meldingen en verdachte reacties die juist signalen van misbruik zouden kunnen zijn.

Daarnaast zorgen deze regels voor persistentie zonder dat er malware nodig is. Door automatische doorsturing blijft een aanvaller inzicht houden in de mailbox, zelfs nadat een wachtwoord is gewijzigd. Zolang de regel actief blijft, blijft gevoelige informatie uitlekken. Dit creëert een cloud native mechanisme voor langdurige toegang dat moeilijk te detecteren is.

Manipulatie van communicatie zonder netwerktoegang

Een opvallend aspect van deze aanvalstechniek is dat deze sterk lijkt op man in the middle gedrag, zonder dat daar netwerktoegang voor nodig is. Door specifieke e-mails naar verborgen mappen te leiden, positioneren aanvallers zich effectief binnen lopende communicatie. Zij kunnen berichten van leveranciers, partners of klanten onderscheppen voordat het slachtoffer deze ziet. Vervolgens kunnen zij zich voordoen als de eigenaar van de mailbox of zich mengen in bestaande conversaties.

Daarnaast kunnen aanvallers antwoorden en meldingen onderdrukken die frauduleuze activiteiten aan het licht zouden brengen. Door selectief berichten te tonen of te verbergen sturen zij de communicatie tussen partijen. In tegenstelling tot traditionele man in the middle aanvallen, waarbij netwerkcontrole vereist is, wordt hier hetzelfde effect bereikt via legitieme platformfunctionaliteit. Het slachtoffer blijft gewoon communiceren, zonder te beseffen dat gesprekken worden gemanipuleerd, wat aanvallers een aanzienlijk tactisch voordeel geeft.

Belangrijkste bevindingen uit het onderzoek

Uit het onderzoek blijkt dat mailboxregels een risicovolle maar veelgebruikte tactiek zijn na een succesvolle inbraak. Aanvallers gebruiken deze regels voor het wegsluizen van gegevens, het behouden van toegang en het manipuleren van communicatie. In combinatie met externe diensten en domeinspoofing kunnen zij e-mailthreads kapen en zich overtuigend voordoen als het slachtoffer. Dit gebeurt zonder dat er sprake is van detectie op netwerkniveau.

Daarnaast komt deze techniek vaker voor dan veel organisaties verwachten. Ongeveer tien procent van de gehackte accounts in het vierde kwartaal van 2025 bleek kort na de initiële inbraak al kwaadaardige mailboxregels te bevatten. Opvallend is dat aanvallers gebruikmaken van herkenbare patronen, zoals minimale of willekeurige regelnamen en simpele acties zoals verwijderen of verplaatsen naar zelden gecontroleerde mappen. Dit onderstreept dat aanvallers vaak vertrouwen op het gebrek aan controle en detectie.

Tot slot blijven deze instellingen actief, zelfs nadat een wachtwoord is gewijzigd. Doorstuur- en onderdrukkingsregels blijven functioneren totdat ze expliciet worden verwijderd. Hierdoor kunnen datalekken langdurig doorgaan zonder dat organisaties dit direct doorhebben.

Risicobeperking vraagt om gerichte maatregelen

Sterke preventieve maatregelen kunnen zowel de kans op misbruik als de impact ervan aanzienlijk verkleinen. Een belangrijke stap is het standaard uitschakelen van externe automatische doorsturing binnen Exchange Online. Dit voorkomt dat e-mails ongemerkt naar externe adressen worden verzonden en beperkt een van de meest gebruikte aanvalsmethoden. Daarnaast is het essentieel om beleid voor voorwaardelijke toegang af te dwingen.

Dit betekent onder meer het verplicht stellen van multifactorauthenticatie, het beperken van toegang op basis van apparaat en locatie en het uitschakelen van verouderde authenticatiemethoden. Door risicogebaseerde controles toe te passen wordt de kans op succesvolle aanvallen via phishing, password spraying en tokenmisbruik aanzienlijk verkleind. Ook het monitoren van OAuth-toestemmingen speelt een cruciale rol, vooral wanneer het gaat om rechten zoals Mail Read, Mail ReadWrite en offline access.

Incidentrespons: snel handelen is cruciaal

Wanneer schadelijke mailboxregels worden ontdekt, moet de focus direct liggen op het indammen van de dreiging en het herstellen van de controle. Het verwijderen van alle ongeautoriseerde inboxregels is daarbij de eerste stap. Tegelijkertijd moet worden gecontroleerd of er geen verborgen of conditionele regels actief zijn die over het hoofd worden gezien. Alleen zo kan worden voorkomen dat de aanval ongemerkt doorgaat.

Daarnaast is het noodzakelijk om actieve sessies ongeldig te maken en tokens te vernieuwen. Dit voorkomt dat aanvallers toegang behouden via bestaande sessies, zelfs na een wachtwoordwijziging. Het analyseren van inlogactiviteit in Entra ID-logboeken helpt bij het identificeren van verdachte patronen zoals afwijkende locaties, onbekende apparaten of risicovolle authenticaties. Tot slot moeten OAuth-applicaties worden gecontroleerd en opgeschoond, waarbij onbekende of te ruim ingestelde apps worden verwijderd en legitieme toegang opnieuw wordt gevalideerd.

Deze stappen moeten altijd worden uitgevoerd, zelfs wanneer mailboxregels de enige zichtbare indicator van een inbreuk lijken te zijn. Juist de beperkte zichtbaarheid maakt deze aanvalstechniek zo effectief en tegelijkertijd zo risicovol.