Na een accountovername van een mailbox maken aanvallers steeds vaker gebruik van kwaadaardige mailboxregels om onopgemerkt te blijven. Uit onderzoek blijkt dat ongeveer 10 procent van de gehackte accounts in het vierde kwartaal van 2025 kort na de eerste inbraak schadelijk ingestelde regels bevatte. Een wachtwoordwijziging lost het probleem niet op.
Als kwaadwillenden toegang hebben gekregen tot een mailbox zetten ze steeds vaker niet direct malware in en bouwen geen aparte command-and-controlinfrastructuur op. In plaats daarvan misbruiken ze ingebouwde platformfuncties, waaronder mailboxregels.
Via phishing, password spraying, brute-force-aanvallen of misbruik van OAuth-toestemming krijgen aanvallers initieel toegang schrijft Proofpoint. Eenmaal binnen is het doel onzichtbaar blijven. Aanvallers maken bij Business Email Compromise gebruik van dit soort legitieme toegang om communicatie te manipuleren.
Vier doelen, één mechanisme
Kwaadaardige mailboxregels dienen meerdere doelen tegelijkertijd blijkt uit het onderzoek. Zo maken aanvallers doorstuurregels om kopieën van e-mails automatisch naar externe mailboxen te sturen, gefilterd op trefwoorden als ‘factuur’ of ‘contract’. Even populair is het verplaatsen van berichten naar mappen als ‘archief’ of ‘RSS-abonnementen’, zodat er geen doorstuurindicatoren worden geactiveerd.
Daarnaast worden beveiligingswaarschuwingen, MFA-meldingen en wachtwoordreset-e-mails actief verborgen via verwijder- of verplaatsingsregels. Het slachtoffer ziet ze simpelweg niet. Dat geeft aanvallers de tijd om hun positie te versterken of frauduleuze betalingen voor te bereiden.
Ook man-in-the-middle-achtig gedrag is mogelijk zonder enige netwerkpositie. Door inkomende berichten van leveranciers naar verborgen mappen te leiden, kunnen aanvallers correspondentie onderscheppen en zich mengen in lopende communicatiethreads. Dat aanvallers actief MFA-mechanismen omzeilen om precies dit soort toegang te krijgen, is ondertussen een bekende tactiek.
Wat het onderzoek nog meer laat zien
Een opvallende bevinding is dat kwaadaardige regels vrijwel altijd minimale of willekeurige namen hebben. Aanvallers besteden weinig tijd aan vermomming en vertrouwen erop dat niemand de regels actief controleert. Dat vertrouwen blijkt vaak terecht.
Zorgwekkender is de persistentie. Doorstuur- en onderdrukkingsregels blijven actief na het wijzigen van een wachtwoord. Wie een gecompromitteerd account herstelt door alleen het wachtwoord te resetten, is dus totaal niet veilig bezig. Proofpoint wees eerder al op dit soort blinde vlekken, waarbij verouderde rechten en onopgemerkte toegang leiden tot aanhoudende datalekken.
Voorkomen en reageren
Tegen dit type aanval helpen een paar concrete maatregelen. Zo kun je standaard het automatisch doorsturen naar externe adressen blokkeren. Dwing ook voorwaardelijke toegang af met MFA en beperk verouderde authenticatiemethoden. Monitor OAuth-toestemmingen actief, specifiek bij permissies als Mail.Read of Mail.ReadWrite.
Als er schadelijke regels worden gevonden, verwijder ze dan direct. Stop actieve sessies, vernieuw tokens en analyseer logboeken op verdachte gebeurtenissen, die aan het aanmaken van de regels voorafgingen. Controleer tot slot welke OAuth-apps toegang hebben tot de mailbox en verwijder onbekende of te apps met teveel rechten.