Missbrauch von E-Mail-Regeln: Wie Angreifer Microsoft 365 nach der Übernahme unbemerkt kontrollieren
Sicherheitsforscher von Proofpoint warnen, dass Cyberkriminelle nach der Kompromittierung von Microsoft-365-Konten zunehmend native Postfachregeln missbrauchen, um unentdeckt Daten abzugreifen, Warnungen zu unterdrücken und Betrug abzuwickeln. In rund zehn Prozent der kompromittierten Konten im vierten Quartal 2025 fand sich kurz nach dem Zugriff mindestens eine schädliche Regel.
Die Proofpoint-Forscher Anna Akselevich, Pavel Asinovsky und Yaniv Miron beschreiben in einer Analyse auf dem Unternehmensblog, wie Angreifer typischerweise per Credential-Phishing, Password Spraying, Brute-Force-Angriffen oder dem Missbrauch von OAuth-Zustimmungen Zugang zu Microsoft 365 erlangen. Sobald sie im System sind, verzichten sie bewusst auf Malware oder klassische Fernzugriffswerkzeuge und greifen stattdessen auf Bordmittel der Plattform zurück, um unter der Identität des legitimen Nutzers zu agieren.
Postfachregeln gelten dabei als besonders wirksames Werkzeug. Eigentlich sollen sie Nutzern helfen, ihren Posteingang zu sortieren. Angreifer nutzen sie laut den Forschern jedoch, um Nachrichten zu löschen, auszublenden, weiterzuleiten oder als gelesen zu markieren. Auf diese Weise lasse sich der E-Mail-Verkehr kontrollieren, ohne das Opfer zu alarmieren. Proofpoint zufolge ist dieses Vorgehen kein Einzelfall: Die Auswertung kompromittierter Konten habe gezeigt, dass etwa zehn Prozent kurz nach dem ersten Zugriff mindestens eine schädliche Regel aufwiesen. In manchen Fällen würden erste Regeln bereits fünf Sekunden nach dem unautorisierten Login angelegt.
Vier Angriffsziele hinter manipulierten Regeln
Die Security-Experten unterscheiden vier zentrale Ziele, die Angreifer mit Postfachregeln verfolgen. Beim verdeckten Datenabfluss legen sie Weiterleitungs- oder Umleitungsregeln an, die Kopien von E-Mails an extern kontrollierte Postfächer senden. Häufig kämen dabei Schlüsselwörter wie „Rechnung“, „Überweisung“ oder „Vertrag“ oder bestimmte Absenderfilter zum Einsatz, um gezielt wertvolle Daten zu sammeln. Alternativ würden Nachrichten in schwer auffindbare Ordner wie Archiv, RSS-Feeds oder versteckte Ordner verschoben, um dort später eingesehen zu werden, ohne dass Weiterleitungsindikatoren anschlagen.
Ein zweites Ziel ist die Täuschung der Opfer. Regeln, die Nachrichten löschen, als gelesen markieren oder verschieben, verbergen demnach Sicherheitswarnungen, Passwort-Reset-Mails, Multi-Faktor-Authentifizierungs-(MFA)-Benachrichtigungen oder Registrierungen bei Drittanbietern, die die Aktivitäten der Angreifer offenlegen könnten.
Drittens schaffen automatische Weiterleitungsregeln einen Persistenzmechanismus ohne Schadsoftware: Solange die Regel aktiv bleibt, fließen Informationen auch nach einer Passwortänderung weiter ab. Viertens ermögliche das Umleiten bestimmter Korrespondenz in versteckte Ordner ein Man-in-the-Middle-ähnliches Verhalten. Angreifer fingen so Nachrichten von Lieferanten, Partnern oder Kunden ab, bevor das Opfer sie sehe, gäben sich als E-Mail-Inhaber aus oder schleusten sich in bestehende Mailverläufe ein. Anders als klassische Man-in-the-Middle-Angriffe erfordere diese Variante keine Positionierung im Netzwerk, sondern nutze ausschließlich legitime Plattformfunktionen. Das Opfer kommuniziere scheinbar normal, während Schlüsselgespräche unbemerkt manipuliert würden.
Fallstudie Gehaltsbetrug: Zwei Postfächer, zwei Regeln
Ein von Proofpoint dokumentiertes Szenario zeigt, wie sich Regelmissbrauch und internes Phishing zu einem gezielten Lohnbetrug verbinden lassen. Im ersten Schritt übernahmen die Angreifer das Konto eines Buchhaltungsspezialisten und legten umgehend eine Regel an, die jede eingehende E-Mail mit dem Betreff „Zahlungsbeleg“ in den Archivordner verschob. Genau diese Betreffzeile setzten sie anschließend in einer internen Phishing-Kampagne ein, die 45 weitere Beschäftigte derselben Organisation adressierte. Die Mail enthielt keinen Text, einen Anhang und eine leicht veränderte Signatur des Absenders. Weil die Nachricht von einem legitimen internen Konto stammte, umging sie zahlreiche Sicherheitskontrollen.
Unter den Empfängern befand sich der Assistent des CEO, der nach dem Öffnen des Anhangs ebenfalls kompromittiert wurde. Der Angreifer richtete dort eine zweite Regel ein, die alle Nachrichten mit dem Betreff „Gehaltsabrechnung“ ins Archiv verschob. Anschließend ging vom Konto des CEO-Assistenten eine entsprechende Mail an den Gehaltsabrechnungsspezialisten des Unternehmens, die eine betrügerische Zahlungsanweisung auslösen sollte. Die Regeln sorgten laut den Forschern dafür, dass Rückfragen verborgen, Sicherheitswarnungen unterdrückt und die fortgesetzte Kontonutzung von den Opfern nicht bemerkt wurden. Die gesamte Angriffskette spielte sich innerhalb von Microsoft 365 ab und nutzte ausschließlich vorhandene Funktionen. Proofpoint folgert daraus, dass Postfachregeln nach einer Kompromittierung als erhebliches Risiko und nicht als harmlose Produktivitätsfunktion zu bewerten seien.
Masse statt Heimlichkeit
In einem zweiten Szenario beschreiben die Autoren die Übernahme von Universitätskonten, bei der die Angreifer eine grundlegend andere Logik verfolgten. Statt selektiver, möglichst unauffälliger Regeln kämen dort bedingungslose Konfigurationen zum Einsatz, die pauschal auf alle eingehenden Nachrichten wirken. Üblich seien das vollständige Löschen aller eingehenden Mails, das Verschieben in schwer auffindbare Ordner wie Archiv, RSS-Abonnements oder „Gelöschte Objekte“ sowie das Markieren als gelesen mit gleichzeitiger Entfernung aus dem Posteingang. Ziel sei nicht das gezielte Unterdrücken einzelner Warnungen, sondern die komplette Isolierung des Postfachs.
Operativ diene dieser Ansatz dem massenhaften Versand von Spam- und Phishing-Mails. Sobald das Postfach isoliert sei, erhalte der Angreifer die Kontrolle über die ausgehende Kommunikation, während der legitime Nutzer keine Warnungen, Unzustellbarkeitsbenachrichtigungen oder Missbrauchsmeldungen mehr sehe. Das übernommene Konto werde dann genutzt, um in kurzer Zeit Tausende schädlicher Nachrichten an Studierende, Dozenten oder externe Kontakte zu versenden. Proofpoint beschreibt diesen Ansatz als bewussten Tausch von Unauffälligkeit gegen operative Effizienz: Den Angreifern sei klar, dass das Konto bald deaktiviert werde, doch das kurze Zeitfenster reiche aus, um den Versand abzuschließen, bevor die Sicherheitsteams reagieren könnten.
Inhaltlich dominieren laut den Forschern Maschen, die auf die akademische Zielgruppe zugeschnitten sind: gefälschte Stellenanzeigen für Praktika und Nebenjobs, Stipendienbetrug mit Vorauszahlungen oder Abfrage persönlicher Daten sowie betrügerische Angebote für Elektronik oder Lehrbücher auf Online-Marktplätzen. Besonders wirksam seien diese Kampagnen zu Semesterbeginn oder -ende, weil sie an reale Bedürfnisse der Studierenden anknüpften und die kompromittierte institutionelle Absenderadresse zusätzliche Glaubwürdigkeit verleihe.
Inaktive Konten als blinder Fleck
Neben aktiven Accounts nehmen Angreifer zudem gezielt inaktive Konten ins Visier – etwa von ehemaligen Studierenden, pensionierten Dozenten oder ausgeschiedenen Mitarbeitern, deren Zugänge nie ordnungsgemäß deaktiviert wurden. Solche Konten stammten häufig aus der Zeit vor heutigen Sicherheitsrichtlinien und verfügten weder über Multi-Faktor-Authentifizierung noch über moderne Passwortvorgaben oder bedingte Zugriffskontrollen. Da Sicherheitsteams ihre Überwachung vor allem auf aktive Nutzer ausrichteten und inaktive Konten keine legitime Aktivität erzeugten, blieben dort angelegte Authentifizierungs- oder Regelmuster oft unbemerkt. Weil zudem niemand verdächtige Mails oder Passwort-Reset-Benachrichtigungen sehe, könnten Angreifer solche Postfächer wochen- oder monatelang nutzen.
Dass Universitäten insgesamt attraktive Ziele sind, führt Proofpoint auf mehrere strukturelle Faktoren zurück: große Kontaktlisten mit vertrauensvollen Beziehungen innerhalb akademischer Netzwerke, das hohe Vertrauen in institutionelle Absenderadressen, ein historisch niedrigeres Sicherheitsniveau im Vergleich zu Unternehmen – etwa bei der Verbreitung von MFA und der Überwachung von E-Mail-Regeln – sowie eine hohe Fluktuation und ein dezentrales IT-Management, die Erkennung und Reaktion verzögern.
Die Forscher mahnen, dass Regelmissbrauch keine einheitliche Methode sei. Erkennungs- und Reaktionsstrategien müssten sowohl schleichende, präzise BEC-Angriffe als auch aggressive, hochvolumige Spam-Kampagnen abdecken, weil sich die Verhaltensmuster bei Erstellung und Nutzung der Regeln deutlich unterschieden.
(Quelle: Proofpoint)
Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Werkzeugen erstellt. Die inhaltliche Verantwortung, Überprüfung der Fakten und redaktionelle Bearbeitung liegen bei der Redaktion.