De stille kaper: waarom hackers dol zijn op je mailboxregels
Wanneer hebt u voor het laatst de instellingen van uw mailboxregels gecontroleerd? Voor de meeste gebruikers is het een 'instellen en vergeten'-functie. Maar juist die onoplettendheid is precies waar cybercriminelen op rekenen. Uit recent onderzoek blijkt dat bij maar liefst 10% van de gehackte accounts in het laatste kwartaal van 2025 direct na de inbraak kwaadaardige mailboxregels werden aangemaakt.
In de moderne cloud-omgeving van Microsoft 365 (O365) verschuift de tactiek van aanvallers. In plaats van opvallende malware te installeren die door virusscanners kan worden opgepikt, kiezen ze voor een subtielere aanpak: Living off the Land. Ze gebruiken legitieme functies van het platform om hun sporen uit te wissen en gegevens te stelen. De mailboxregel is daarbij hun favoriete gereedschap.
De onzichtbare diefstal
Het proces begint vaak bij een klassieke accountovername via phishing, password spraying of het stelen van sessie-tokens. Eenmaal binnen richt de aanvaller zich niet op directe chaos, maar op persistentie: het langdurig behouden van toegang.
Door een regel in te stellen die e-mails met trefwoorden als ‘factuur’, ‘betaling’ of ‘vertrouwelijk’ automatisch doorstuurt naar een extern adres, creëert de aanvaller een constante stroom aan informatie. Het slachtoffer merkt hier niets van, omdat de aanvaller vaak tegelijkertijd een regel instelt die deze e-mails direct als 'gelezen' markeert of verplaatst naar een onopvallende map zoals de RSS-feeds of het archief.
Waarom deze tactiek zo effectief is
De kracht van deze methode zit in de eenvoud en de weerstand tegen standaard beveiligingsmaatregelen:
- Persistentie zonder wachtwoord: Zelfs als een gebruiker zijn wachtwoord wijzigt na een vermoeden van inbraak, blijft de ingestelde mailboxregel actief. De informatie blijft wegstromen zolang de regel niet handmatig wordt verwijderd.
- De Man-in-the-Middle in de cloud: Aanvallers kunnen communicatie kapen. Door berichten van leveranciers te onderscheppen en te verbergen voor de echte eigenaar, kunnen ze zich voordoen als de gebruiker en bijvoorbeeld bankrekeningnummers op facturen aanpassen.
- Onderdrukken van alarmbellen: Veel beveiligingswaarschuwingen van Microsoft of meldingen van MFA-registraties komen binnen via e-mail. Een slimme regel verwijdert deze berichten direct, waardoor de aanvaller ongestoord zijn gang kan gaan.
Herken de patronen
Onderzoekers wijzen erop dat aanvallers vaak lui zijn bij het configureren van deze regels. Let op de volgende rode vlaggen:
- Onzinnige namen: Regels met namen als "...", "a", of willekeurige lettercombinaties.
- Ongebruikelijke locaties: Berichten die automatisch naar de map 'RSS-abonnementen' of de 'Prullenbak' worden verplaatst.
- Onbekende doorstuuradressen: Regels die kopieën van berichten naar externe, onbekende domeinen sturen.
Hoe beschermt u uw organisatie?
Het voorkomen van een inbraak is stap één, maar het beperken van de schade is cruciaal.
Preventieve maatregelen:
- Blokkeer externe doorsturing: Schakel in Exchange Online de mogelijkheid uit om e-mails automatisch naar externe adressen door te sturen, tenzij hier een strikte zakelijke noodzaak voor is.
- Strikte toegangseisen: Gebruik Conditional Access (voorwaardelijke toegang) en dwing MFA af voor alle gebruikers.
- OAuth-monitoring: Controleer welke applicaties van derden toestemming hebben om mailboxen te lezen of te schrijven.
Bij een incident: Mocht er een inbraak worden geconstateerd, dan volstaat een wachtwoordwijziging niet. Het opschonen van de mailboxregels, het intrekken van actieve sessies en het controleren van de Entra ID-logboeken op verdachte IP-adressen zijn verplichte stappen om de aanvaller definitief buiten de deur te zetten.
Wilt u meer weten over de technische details van dit onderzoek? Klik hier voor het volledige rapport.
Meer over cybercrime
Over Witold Kepinski
