Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Nieuwe e-mail doorstuurregel gedetecteerd [RULE-1020]

Deze regel detecteert wanneer een nieuwe mailboxregel wordt aangemaakt in Exchange Online die e-mail doorstuurt naar een extern adres. Wanneer een dergelijke regel wordt aangemaakt, kan dit erop wijzen dat een aanvaller toegang heeft gekregen tot een mailbox en probeert e-mailgegevens te exfiltreren door berichten door te sturen naar een adres buiten de organisatie.

Rationale

E-mail forwarding rules zijn een van de meest gebruikte persistence- en data exfiltration-technieken die aanvallers inzetten na het compromitteren van een mailbox. Deze techniek is gekoppeld aan MITRE ATT&CK als T1114.003 (Email Collection: Email Forwarding Rule) en T1020 (Automated Exfiltration).

Na het verkrijgen van toegang tot de mailbox van een gebruiker - vaak via phishing of credential theft - maken aanvallers regelmatig inbox rules aan die alle inkomende e-mails (of e-mails die voldoen aan bepaalde criteria) stilzwijgend doorsturen naar een extern adres dat zij beheren. Hierdoor kan de aanvaller kopieën van de e-mails van het slachtoffer blijven ontvangen, zelfs nadat de initiële compromittering is verholpen, bijvoorbeeld wanneer wachtwoorden zijn gewijzigd.

Deze techniek komt vooral voor bij Business Email Compromise (BEC) en CEO-fraude. Aanvallers gebruiken de doorgestuurde e-mails om informatie te verzamelen over financiële transacties, facturen te onderscheppen en zich voor te doen als vertrouwde partijen om betalingen om te leiden naar door de aanvaller beheerde bankrekeningen. Het vroegtijdig detecteren van deze forwarding rules is essentieel om financieel verlies en datalekken te voorkomen.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer met de eigenaar van de mailbox of de doorstuurregel bewust is aangemaakt. Controleer wie de regel heeft aangemaakt en naar welk extern adres er wordt doorgestuurd.

    • Zo nee: De doorstuurregel is niet bewust aangemaakt en is mogelijk kwaadaardig:

      1. Verwijder of schakel de doorstuurregel onmiddellijk uit in de mailbox.
      2. Reset het wachtwoord van het betreffende account en revoke alle actieve sessies via Microsoft Entra ID.
      3. Controleer de sign-in logs op verdachte inlogactiviteit op het betreffende account. Bekijk aanvullende mailboxregels en recente e-mailactiviteit op verdere tekenen van compromittering.
      4. Overweeg om Attic in te schakelen voor een volledig incident response onderzoek om de omvang van de compromittering vast te stellen.

    • Zo ja: De doorstuurregel is bewust aangemaakt door de gebruiker:

      1. Verifieer of het doorsturen van e-mail naar een extern adres is toegestaan binnen het beveiligingsbeleid van uw organisatie.
      2. Indien acceptabel: documenteer de uitzondering en sluit het incident af.

Meer informatie