众力资讯网

上班摸鱼别大意!公司监控手段全揭秘 不少打工人摸鱼时总觉得没人管,以为公司根本

上班摸鱼别大意!公司监控手段全揭秘

不少打工人摸鱼时总觉得没人管,以为公司根本不知道自己在摸鱼,实际情况恰恰相反,不少公司早就把员工的摸鱼行为摸得门清。近期国美发布的处罚通报里,曾点名多位员工,连员工使用的摸鱼 APP、消耗的流量都列得明明白白。此后不少大厂曝出,以员工摸鱼泄密为由扣薪,甚至直接辞退员工。不少人也听过,只要连接公司 WiFi、使用公司设备,都会被全程监控。那公司到底是如何暗中监控你的?又能看到哪些私人信息?

不管你用公司配发的设备,还是自己的手机电脑,只要连了公司 WiFi,要监控就非常简单,一台略微专业的路由器就能做到。大部分主流网站采用 HTTPS 加密,看似传输加密,但当你点击链接时,浏览器会发送一段明文 SNI 信息,告诉服务器你要访问的网址,这一步是建立加密连接的必要前提。只要一台普通企业路由器,就能通过 SNI 信息分析出你的设备访问过什么网站、用了哪些 APP,以及使用时长。

哪怕你用自己的手机连接公司 WiFi,点开淘宝购物,路由器也能记录下来。它虽不知道你浏览的具体商品,但足够证明你在摸鱼,用来当证据。

网友小卡换了企业路由器后,查看记录页面才意识到,哪怕自己家的设备都能被精准记录网站使用情况,看完后宁愿用自己的流量,也不再随便连接公共 WiFi 或他人 WiFi。** 哪怕删除浏览器历史记录,也没法消除这些 WiFi 流量记录。真要摸鱼的话,务必开启全局 VPN,此时路由器只能记录访问 VPN 的网站,却无法看到具体内容。

更高级的企业级路由器,带有证书解密功能,能看到的信息更多。当你访问网站时,网站会向设备发送加密证书,设备会用内置证书的密钥解密核对,确认是正规网站后才传输信息。企业可以在你的设备中悄悄安装自定义证书,替换公司的密钥,此时路由器会解密网站传输的内容,再重新加密更换证书后发给浏览器。浏览器会误以为是正规网站,所有后续传输的信息其实先到路由器再传到网站。这种中间人攻击能审查你和网站之间的所有数据,包括密码、聊天记录、搜索记录。不过这种方式会消耗硬件资源,可能影响上网速度,而且只能监控浏览器能看到的信息。


如果公司在你的电脑上安装专业的企业监控软件,能看到的远比路由器多得多,相当于把你办公全程直播。这类软件的监控功能大致分为三类:

第一类是远程监控,软件在后台定时截图、录屏,需要辞退员工时就能拿出完整的证据;
第二类是文件系统过滤驱动,监控文件读写请求,任何程序读取硬盘文件时,都会被检查是否含有敏感信息。有朋友离职时用 U 盘拷走工作材料,当天马上收到上级发来的详细文件清单,不少公司直接禁用 USB 传输功能,都是靠这类技术实现;

第三类就是内存注入,这是最彻底的监控方式。微信等通讯软件用私有协议,强行解密聊天记录会涉及违法,但软件最终在聊天框展示的都是明文,会临时存储在电脑内存中。** 企业监控软件的本质就是合法木马,通过内存钩子读取这些明文,不仅能看到实时聊天记录,甚至包括已经撤回的消息。你跟同事吐槽老板、上班时看招聘网站的操作,都会被完整记录。

2022 年就有公司使用深信服的员工行为监测系统,通过分析聊天记录、求职网站访问、简历投递等行为,判断员工离职倾向,虽然事件闹大后深信服下架了相关软件,但类似的其他产品依然不难找到。

手机监控的情况比电脑稍好,但也无法完全避开。目前 iPhone 和安卓手机都有沙盒机制,能隔离不同 APP,但这个机制也能被突破。安卓系统的无障碍服务原本用于帮助视障人士读取信息,监控软件一旦获取权限,就能监控手机上的所有操作。比如知名企业监控软件 Variatto 官网明确说明,安卓版需要获取无障碍服务权限。iPhone 上第三方软件无法获取该权限,公司只能通过 VPN 植入自定义证书,监控浏览器和 APP 访问记录。

不少大厂会自研监控软件,提前部署到每台公司设备,还能对外售卖相关解决方案。这类自研软件权限更高,甚至能嵌入系统底层无法自行关闭,主要目的之一是防泄密。2016 年阿里内网秒杀月饼事件中,就有员工将内部处罚通告截图外传,媒体报道称阿里完全能通过屏幕水印追踪到源头。

公司提前告知后,办公设备监控行为完全合法。不少公司在劳动合同、员工须知、岗前培训中明确规定,工作设备和工作环境中的活动受监控,工作成果归公司所有。一旦签订合同,公司就有权利监控工作设备。近期字节员工质疑飞书后台截图事件,官方回应称是保障数据安全且经用户同意,后续并未发酵。

如果非常在意个人隐私,最好不要在工作设备处理私人事务。真要避开专业监控的话,可以选择规模较小的公司,基本依靠人工督促,没有专业监控手段,当然还是要保持工作自觉性。毕竟为了混口饭吃,工作成果可以交给公司,但个人隐私也该守护好。