“Mijn zakelijke mailbox is gehackt”: wat nu?

“Mijn zakelijke mailbox is gehackt”: wat nu?

Stappenplan voor het eerste uur na de hack van een mailbox een bedrijfsomgeving

Je ontdekt dat er verdachte mails vanuit je mailbox zijn verstuurd omdat een medewerker, klant of leverancier je aanspreekt over een e-mail die je niet zelf hebt verzonden. Of misschien belt er een klant met de vraag of het nieuwe rekeningnummer dat je bezorgde, wel klopt. In zo’n geval is snelheid cruciaal. Een gecompromitteerde mailbox in een bedrijfsomgeving is immers geen individueel issue, maar een bedrijfsincident dat kan leiden tot:

  • Business Email Compromise (BEC)
  • Interne verspreiding van phishing
  • Datalekken
  • Financiële fraude
  • Reputatieschade

In deze blog krijg je een concreet eerste-uur-stappenplan, gebaseerd op best practices uit Microsoft incident response guidance.

“Mijn zakelijke mailbox is gehackt”: wat nu?

Hoe gebeurt een mailboxcompromis vandaag meestal?

Volgens Microsoft ontstaat een gehackte mailbox zelden door “brute force hacking”. In de meeste kmo’s zien we:

  • Phishing met sessiediefstal: Een gebruiker logt in op een nep-M365-pagina. De aanvaller steelt vervolgens de sessietoken en omzeilt op die manier MFA.
  • MFA fatigue (push bombing): Een gebruiker krijgt tientallen pushmeldingen en klikt uiteindelijk op “goedkeuren”.
  • OAuth-app misbruik: Een gebruiker geeft onbewust een kwaadaardige app toegang tot de mailbox of Drive.
  • Legacy protocols (IMAP/POP): Er zijn nog verouderde en onvoldoende beveiligde authenticatiemethodes in gebruik in de organisatie.
  • Gecompromitteerd toestel: Een gebruikerstoestel is geïnfecteerd met malware en deze leest tokens of opgeslagen sessies uit.

Een mailbox is zelden “op zichzelf” gehackt. Heel vaak gaat het issue breder en is er op het gebruikerstoestel of bedrijfsnetwerk meer aan de hand.

Wat doe je in het eerste uur?

Snel handelen beperkt schade. Daarom adviseren we het volgende stappenplan:

  1. Het gebruikersaccount onmiddellijk blokkeren
  2. Het wachtwoord resetten
  3. MFA (multi factor authenticatie) resetten
  4. Alle actieve sessies intrekken
  5. Uitgaand historisch mailverkeer controleren
  6. Entra sign-in logs overlopen
  7. Checken of er BEC (Business Email Compromise) is gebeurd.
  8. Werden er facturen of betalingsgegevens gewijzigd of zijn er contactpersonen benaderd? Contacteer de betrokkenen dan onmiddellijk.
  9. Intern communiceren naar collega’s

Wanneer moet je een datalek melden?

Als er persoonsgegevens zijn ingezien of geëxfiltreerd, kan dit onder de GDPR een meldingsplicht betekenen. Maak sowieso een risicobeoordeling, en documenteer wat er werd ingezien, door wie, voor hoelang en welke maatregelen er werden genomen.

Conclusie

Een gehackte mailbox is geen klein IT-incident maar een belangrijk bedrijfsrisico. Het verschil tussen beperkte schade en financiële impact zit vaak in wat je doet in het eerste uur. Een snelle uitvoering van het stappenplan is belangrijk. Daarna dien je structurele beveiligingsmaatregelen door te voeren.

Wil je weten of je Microsoft 365-omgeving correct is ingericht?

Wij helpen je graag met een security-check, tonen je de risico’s en adviseren je over de gewenste maatregelen.

Contact OPNEMEN
Omer, sysadmin Datalink te Diepenbeek

IT Infrastructuur
IT Support
Werken in de cloud
Microsoft 365

IT Audit
GDPR Audit
Netwerkbeveiliging
Computerbeveiliging

Webapplicaties
Domeinnaamregistratie
Webhosting

Vraag IT support aan
Vraag IT support aan
Scroll naar boven