行業新聞與博客

安全研究人員發現，Microsoft 365 環境中郵箱規則的濫用現象激增，攻擊者越來越依賴電郵的原生功能來維持訪問權限、竊取數據並在帳户被盜用後操縱通信。

Proofpoint 今天早些時候發佈的調查結果顯示，2025 年第四季度約有 10% 的被入侵賬户在首次訪問後的幾秒鐘內就創建了惡意郵箱規則。

這些規則通常使用極簡或無意義的名稱，旨在刪除電郵或將其移動到很少被監控的文件夾，例如“存檔”或“RSS 訂閲”。

攻擊者如何利用 Microsoft 365 郵箱規則

郵箱規則為攻擊者提供了自動化和隱蔽性。一旦進入賬户，他們就能在不被察覺的情況下控制郵件流。通過屏蔽或重定向郵件，攻擊者可以改變受害者收件箱中的內容，從而使欺詐活動得以持續進行而不被發現。

攻擊者的常見目標包括：

• 將敏感郵件轉發到外部賬户以竊取數據

• 隱藏安全警報、密碼重置和可疑活動

• 攔截和篡改正在進行的電郵對話

• 即使密碼更改後仍能保持訪問權限

實際上，這些策略使攻擊者能夠冒充受害者、劫持通信渠道並影響業務交易，而不會觸發傳統的安全警報。

現實世界的影響和持續性風險

多個案例展示了郵箱規則濫用是如何發生的。在 Proofpoint 觀察到的一個案例中，攻擊者利用被盜用的賬户發送內部釣魚郵件，攻擊工資發放流程，同時設置規則隱藏回覆和警告信息。這使得攻擊活動幾乎完全隱蔽。

在另一個例子中，攻擊者將郵箱規則與第三方電郵服務和域名欺騙相結合，攔截供應商通信，並將欺詐性付款請求插入到現有郵件線程中。

大學環境也受到了影響。攻擊者經常部署一攬子規則，刪除或隱藏所有收到的郵件，從而隔離郵箱，並在用户不知情的情況下發起大規模垃圾郵件活動。

最令人擔憂的問題之一是其持久性。惡意轉發和抑制規則即使在憑證重置後仍可能保持有效，從而導致數據持續泄露。

研究人員還指出，自動化工具現在使攻擊者能夠大規模地在多個帳户中部署這些規則，從而將一個簡單的功能變成一種強大且難以檢測的攻擊方法。

為了防範類似威脅，Proofpoint 建議企業禁用外部自動轉發功能，實施嚴格的訪問控制（包括多因素身份驗證），並密切監控 OAuth 活動。此外，還建議通過移除惡意規則、撤銷會話和審計賬户活動來確保快速響應。