Mailboxregels in Microsoft 365-omgevingen steeds vaker misbruikt

Hiervoor waarschuwt Proofpoint op basis van onderzoek. Mailboxregels bieden aanvallers onopvallendheid, automatisering en persistentie. Ze gebruiken deze regels om gegevensdiefstal te verbergen, beveiligingswaarschuwingen te onderdrukken en communicatie te manipuleren. Zo kunnen e-mails met trefwoorden zoals ‘factuur’, ‘overschrijving’ of ‘contract’ automatisch worden doorgestuurd naar externe mailboxen die door de aanvaller worden beheerd. Ook worden berichten verplaatst naar onopvallende mappen, zoals ‘archief’ of ‘RSS-feeds’, om detectie te voorkomen.

E-mails verwijderen of verplaatsen

Daarnaast gebruiken aanvallers regels om e-mails te verwijderen, als gelezen te markeren of te verplaatsen, waardoor slachtoffers geen verdachte activiteiten opmerken. Dit stelt aanvallers in staat om hun positie te versterken of frauduleuze operaties uit te voeren zonder dat het slachtoffer dit doorheeft.

Uit recent onderzoek blijkt dat ongeveer 10% van de gehackte accounts in het vierde kwartaal van 2025 kort na de inbraak schadelijke mailboxregels had aangemaakt. Deze regels hebben vaak minimale, onzinnige namen en richten zich op acties zoals het verwijderen van berichten of het verplaatsen naar zelden gecontroleerde mappen. Opvallend is dat de regels actief blijven, zelfs na het wijzigen van wachtwoorden, waardoor datalekken kunnen voortduren.

Maatregelen beperken het risico

Organisaties kunnen het risico op misbruik van mailboxregels verminderen door externe automatische doorsturing uit te schakelen, beleid voor voorwaardelijke toegang af te dwingen en OAuth-toestemmingen te monitoren. Bij het ontdekken van schadelijke regels is het essentieel om deze direct te verwijderen, actieve sessies in te trekken en inlogactiviteiten te controleren op verdachte patronen.

Deze maatregelen zijn cruciaal, zelfs als kwaadaardige mailboxregels de enige zichtbare aanwijzing voor een inbreuk lijken te zijn.

Meer informatie is hier beschikbaar.