行業新聞與部落格

安全研究人員發現，Microsoft 365 環境中信箱規則的濫用現象激增，攻擊者越來越依賴電子信箱的原生功能來維持訪問許可權、竊取資料並在帳戶被盜用後操縱通訊。

Proofpoint 今天早些時候釋出的調查結果顯示，2025 年第四季度約有 10% 的被入侵賬戶在首次訪問後的幾秒鐘內就建立了惡意信箱規則。

這些規則通常使用極簡或無意義的名稱，旨在刪除電子信箱或將其移動到很少被監控的資料夾，例如“存檔”或“RSS 訂閱”。

攻擊者如何利用 Microsoft 365 信箱規則

信箱規則為攻擊者提供了自動化和隱蔽性。一旦進入賬戶，他們就能在不被察覺的情況下控制郵件流。透過遮蔽或重定向郵件，攻擊者可以改變受害者收件箱中的內容，從而使欺詐活動得以持續進行而不被發現。

攻擊者的常見目標包括：

• 將敏感郵件轉發到外部賬戶以竊取資料

• 隱藏安全警報、密碼重置和可疑活動

• 攔截和篡改正在進行的電子信箱對話

• 即使密碼更改後仍能保持訪問許可權

實際上，這些策略使攻擊者能夠冒充受害者、劫持通訊渠道並影響業務交易，而不會觸發傳統的安全警報。

現實世界的影響和持續性風險

多個案例展示了信箱規則濫用是如何發生的。在 Proofpoint 觀察到的一個案例中，攻擊者利用被盜用的賬戶傳送內部釣魚郵件，攻擊工資發放流程，同時設定規則隱藏回覆和警告資訊。這使得攻擊活動幾乎完全隱蔽。

在另一個例子中，攻擊者將信箱規則與第三方電子信箱服務和網域名稱欺騙相結合，攔截供應商通訊，並將欺詐性付款請求插入到現有郵件執行緒中。

大學環境也受到了影響。攻擊者經常部署一攬子規則，刪除或隱藏所有收到的郵件，從而隔離信箱，並在使用者不知情的情況下發起大規模垃圾郵件活動。

最令人擔憂的問題之一是其永續性。惡意轉發和抑制規則即使在憑證重置後仍可能保持有效，從而導致資料持續洩露。

研究人員還指出，自動化工具現在使攻擊者能夠大規模地在多個帳戶中部署這些規則，從而將一個簡單的功能變成一種強大且難以檢測的攻擊方法。

為了防範類似威脅，Proofpoint 建議企業停用外部自動轉發功能，實施嚴格的訪問控制（包括多因素身份驗證），並密切監控 OAuth 活動。此外，還建議透過移除惡意規則、撤銷會話和審計賬戶活動來確保快速響應。