Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Verdacht trefwoord in mailboxregel [RULE-1022]

Deze regel detecteert wanneer een nieuwe mailboxregel wordt aangemaakt in Exchange Online die verdachte trefwoorden bevat in de filtercondities. Aanvallers maken vaak regels aan die zoeken naar specifieke termen gerelateerd aan financiele transacties, security alerts, of gevoelige communicatie om deze e-mails te onderscheppen, te verbergen of om te leiden.

Rationale

Na het compromitteren van een mailbox maken aanvallers regelmatig inbox rules aan die gericht zijn op e-mails met specifieke trefwoorden zoals "factuur", "betaling", "overboeking", "wachtwoord", "security alert", of vergelijkbare termen. Deze techniek is gekoppeld aan MITRE ATT&CK als T1114.003 (Email Collection: Email Forwarding Rule) en T1564.008 (Hide Artifacts: Email Hiding Rules).

Deze regels zijn ontworpen om specifieke e-mails te onderscheppen en te verbergen voor de legitieme gebruiker. Een aanvaller kan bijvoorbeeld een regel aanmaken die alle e-mails met het woord "factuur" naar een verborgen map verplaatst, als gelezen markeert, of volledig verwijdert. Hierdoor kan de aanvaller financiele communicatie manipuleren zonder medeweten van de gebruiker - een essentieel onderdeel van Business Email Compromise (BEC) aanvallen.

De combinatie van verdachte trefwoorden met acties zoals verplaatsen naar onbekende mappen, als gelezen markeren of verwijderen maakt deze regels bijzonder gevaarlijk. Ze stellen aanvallers in staat om stilzwijgend e-mailcommunicatie te monitoren en te manipuleren terwijl de legitieme gebruiker niet op de hoogte is dat e-mails worden onderschept. Vroegtijdige detectie van deze regels is essentieel om financiele fraude en ongeautoriseerde toegang tot informatie te voorkomen.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Bekijk de gedetecteerde mailboxregel en let daarbij op welke trefwoorden er worden gezocht en welke acties de regel uitvoert (verwijderen, verplaatsen, doorsturen, als gelezen markeren). Verifieer met de eigenaar van de mailbox of deze regel bewust is aangemaakt.

    • Zo nee: De regel is niet bewust aangemaakt en is waarschijnlijk kwaadaardig:

      1. Verwijder of schakel de verdachte mailboxregel onmiddellijk uit.
      2. Reset het wachtwoord van het betreffende account en revoke alle actieve sessies via Microsoft Entra ID.
      3. Controleer andere mailboxregels op hetzelfde account op aanvullende kwaadaardige regels. Bekijk sign-in logs en het Unified Audit Log op verdachte activiteit.
      4. Overweeg om Attic in te schakelen voor een volledig incident response onderzoek, vooral als de regel gericht was op financiele trefwoorden.

    • Zo ja: De regel is bewust aangemaakt door de gebruiker:

      1. Verifieer of het gedrag van de regel passend is en geen beveiligingsrisico vormt.
      2. Indien acceptabel: documenteer de uitzondering en sluit het incident af.

Meer informatie