行业新闻与博客

安全研究人员发现，Microsoft 365 环境中邮箱规则的滥用现象激增，攻击者越来越依赖电子邮件的原生功能来维持访问权限、窃取数据并在帐户被盗用后操纵通信。

Proofpoint 今天早些时候发布的调查结果显示，2025 年第四季度约有 10% 的被入侵账户在首次访问后的几秒钟内就创建了恶意邮箱规则。

这些规则通常使用极简或无意义的名称，旨在删除电子邮件或将其移动到很少被监控的文件夹，例如“存档”或“RSS 订阅”。

攻击者如何利用 Microsoft 365 邮箱规则

邮箱规则为攻击者提供了自动化和隐蔽性。一旦进入账户，他们就能在不被察觉的情况下控制邮件流。通过屏蔽或重定向邮件，攻击者可以改变受害者收件箱中的内容，从而使欺诈活动得以持续进行而不被发现。

攻击者的常见目标包括：

• 将敏感邮件转发到外部账户以窃取数据

• 隐藏安全警报、密码重置和可疑活动

• 拦截和篡改正在进行的电子邮件对话

• 即使密码更改后仍能保持访问权限

实际上，这些策略使攻击者能够冒充受害者、劫持通信渠道并影响业务交易，而不会触发传统的安全警报。

现实世界的影响和持续性风险

多个案例展示了邮箱规则滥用是如何发生的。在 Proofpoint 观察到的一个案例中，攻击者利用被盗用的账户发送内部钓鱼邮件，攻击工资发放流程，同时设置规则隐藏回复和警告信息。这使得攻击活动几乎完全隐蔽。

在另一个例子中，攻击者将邮箱规则与第三方电子邮件服务和域名欺骗相结合，拦截供应商通信，并将欺诈性付款请求插入到现有邮件线程中。

大学环境也受到了影响。攻击者经常部署一揽子规则，删除或隐藏所有收到的邮件，从而隔离邮箱，并在用户不知情的情况下发起大规模垃圾邮件活动。

最令人担忧的问题之一是其持久性。恶意转发和抑制规则即使在凭证重置后仍可能保持有效，从而导致数据持续泄露。

研究人员还指出，自动化工具现在使攻击者能够大规模地在多个帐户中部署这些规则，从而将一个简单的功能变成一种强大且难以检测的攻击方法。

为了防范类似威胁，Proofpoint 建议企业禁用外部自动转发功能，实施严格的访问控制（包括多因素身份验证），并密切监控 OAuth 活动。此外，还建议通过移除恶意规则、撤销会话和审计账户活动来确保快速响应。