打劫期刊的背后
研究人员称亟须加强学术期刊网络安全监管
来源:2015年11月25日中国科学报 作者:冯丽妃
即便是用互联网诈骗故事的标准衡量,这种事件也是厚颜无耻的。近日,《科学》杂志收到的一条建议称,骗子正在公然地从学术期刊出版商那里抢夺整个因特网地址,即因特网域名,并以此建立虚假网站。在打劫网站的同时,他们还劫持这些出版商的期刊及网站流量。
自因特网搜索引擎崛起以来,网络诈骗一直如影随形,但过去几年来学术期刊成了被诈骗的目标。通常的诈骗方法是建立一个糊弄人的类似虚假网站地址,比如建立www.sciencmag.org,而不是真实的www.sciencemag.org,然后将网络流量引导至这个虚假网站。
抢夺官方域名则是一种更加狡猾的手段:措手不及的访问者在登陆被劫持的期刊网站之后,在试图支付订阅费用或购买文章时,可能会在此过程中泄露密码或账号。
当伊朗伊斯法罕信息技术科学家Mehdi Dadkhah发来相关建议之后,《科学》杂志请记者John Bohannon报道了这件事情。他的报道不仅确定此次骗局是真实的,同时辨别出近期24次被劫掠的期刊网站域名,还发现了这些黑客可能如何做这件事情。最难得的是区分哪些期刊在劫持者面前更脆弱。一旦这些目标被确定,劫掠它们的域名就成为易事。
为了检测他的结论,Bohannon本人也拦截了一个域名。在一天内,访问克罗地亚当代艺术学杂志官方域名的访问者被导向了理查德·艾斯特利1987年的一段经典音乐视频“永不放弃你”的网址。(当他们得知该做法后,该期刊编辑并没有感到诧异,因为该期刊经常被别人导向其他域名。)
当期刊的网站管理和安全被忽视时,这种新形式的期刊劫持就会日益猖獗。出版专家表示,到目前为止这些为数不多的案例已经敲响了警钟。“其他的商业领域在网络安全方面投入巨大,现在学术期刊也需要紧跟这一步伐。”学术出版业咨询师Phil Davis警告称,“处于危险之中的不仅是金钱,还有名誉和信任。”
打劫者转而聚焦学术期刊网站
一直被犯罪分子忽视的学术期刊网站终于获得了关注。其中的原因之一是如今在线出版的绝对透明度,比如去年2万多家期刊发表了200多万篇电子文章。另一个原因可能是资金流程。如今,这个价值100多亿美元的产业仍然和订阅相关联,主要是由图书馆订购,但开放获取通道的收入份额正在日益增长。去年,这一部分市场占到2.5亿美元,未来几年内相关利润将再翻一番。因此,很多学术出版商的资金流通和非专业的网站管理使它们成为被抢劫者“瞄上”的诱人目标。
科罗拉多大学图书管理员Jeffrey Beall一直在跟踪学术出版的滥用情况。到目前为止,他发现了88家期刊面临被其他网站模仿者冒充的危险。“这个名单还在持续增长。”但是抢劫一家期刊的真实网络域名是一种新近发生的转变——Beall一开始并没有发现这一现象,直到《科学》出版社请他跟踪这件事情。
在抢劫真实域名之前,期刊域名造假仍比较容易发现。你所做的只是需要打开一个值得信赖的有名期刊的网址,比如《科学》网站。这个由汤森路透策划的网站列举了12000余家国际标准序列号(ISSN)、名称、网站以及邮编。但是自从可以打劫真实的网站域名之后,现在情况转变了:想要区分一家期刊是否失去了对其网站域名的控制权不再是一件容易的事情。
从2013年被骗之后,Dadkhah开始调查期刊欺诈问题。具有讽刺意味的是,事情是从他关于“互联网安全性”的研究论文开始的。和无数研究人员一样,他收到一封在一次科学会议上作研究报告要缴纳600美元的邀请函。这些钱对他来说是一笔不小的资金,但是会议组织者承诺将会在汤森路透出版的一家期刊上发表他的研究成果。所以,他付了钱。
然后,事情的发展开始出现偏差。这次会议是“虚的”,根本没有真实的会议组织,也没有举行任何会议。那么论文发表呢?结果被证明那根本就是真实期刊在另一个不用网站上的“克隆”体。Dadkhah于是对该网站进行了强烈抗议,最终要回了他的钱——可谓是难得的逃脱。从那时起,他就成为一名期刊诈骗领域的专家。
瞒天过海难以发现
到目前为止,还有哪些期刊被劫持过?汤森路透拒绝披露期刊打劫的相关信息。但是Dadkhah表示,有两种发现期刊被打劫的方式。首先,通过WHOIS(可以查询“谁”位于一个特别网络域名背后的计算机协定)核查计算机协定。如果注册日期是新近的,但是该期刊已经存在了数年,这就是期刊被劫持的第一个线索。同时,如果域名的注册国家和该期刊出版商所在国不同,或者出版商的名字和联系信息被私人域名注册者匿名使用,那么这就是期刊遭打劫的另一个线索。
Bohannon本人也编写了一个程序用来验证Dadkhah的搜索方法。一开始他劫掠了《科学》网站上可以获取的公开记录,随后产生了超过1.2万个期刊网络域名的名单。他对这些域名全部进行了WHOIS操作。通过过滤注册日期,Bohannon生成了一份近年来网络域名曾“倒过手”的期刊名单。对这些期刊的网站进行检测后,他发现进入汤森路透索引的24家期刊近期曾遭到过劫持。
到目前为止,GMP评论和Ludus Vitalis是仍然“营业”的冒牌期刊。其他若干期刊网站则被用于不相关的商业用途——明显希望从任何资金流通中获利。在一些案例中,劫掠者的动机则很难估计。现在,有1/3的被打劫域名或是处于筹建中或是打算被卖掉。
比如,汤森路透官网上列出的一家由哥斯达黎加大学主办、名为Lankesteriana的植物学期刊,实际上从未被该校注册过,该期刊主编Adam Karremans说:“我只能设想(汤森路透)可能是错误地把别的地址列入了《科学》网站链接网页。”
这表明了一种可能的期刊劫掠方法:通过假冒出版商,让汤森路透把虚假的域名代替真实的域名放在《科学》网站名单上,以此瞒天过海,愚弄汤森路透。
亟须加强学术期刊网络安全监管
购买过期但存在潜在商业利润的域名交易已然存在。这些域名往往很短,仅由一个常见的英语词汇组成。但实际上学术期刊域名经常是较长的密码,因此这些打劫者一定会形成一套策略并找到潜在的“羔羊”。Bohannon表示,打劫者需要进行的唯一调整就是通过域名的截止日期过滤相关数据。这样将会产生一系列潜在的追踪目标,并让其决定何时“下手”。
Bohannon本人也尝试做了一次“打劫者”。汤森路透《科学》网站中用Hart.hr作为《现在艺术期刊》——由位于萨格勒布市的南斯拉夫艺术研究所创办的有50年历史的一家期刊——的域名,Bohannon雇佣一家欧洲公司作为代理替他购买了这个域名。但是他的打劫可能不会对读者造成不便,因为今年6月出版商已经把该期刊的网址转到一个新的域名,并且通知了汤森路透。该期刊编辑Sandra Krizic Roban说,“所以汤森路透已经知道了新的域名。”但随着该期刊交付印刷的时间即将到来,《科学》网站名单上的域名却仍然是目前被作者控制的原始域名。
然而,这绝不会是最后一个被劫持的期刊域名。“很多出版商仍然扎根在印刷世界中,从不了解如何经营一个网站的细节。”《科学》网站原编辑Stewart Wills说,“所以一笔账单进来后却掉入裂隙中。因此需要审慎调查、雇佣充足的人手,或是采用外部网站供应商等,否则网上操作不专业会带来极高的代价。”
处于危险之中的不仅是小期刊出版商。整个出版界都需要依赖数字辨识码(DOI)为学术文章制作网络地址。然而,这一系统在今年1月已经停止工作,因为doi.org网站域名期满。“对于我们系统中的所有冗余设备来说,比如多个服务器、多个托管网站、Raid驱动器以及冗余的电源等,通过简单的管理工作很难控制。”DOI系统维护组织CrossRef的博客写道,“的确,我们深感责任重大。”
Davis说,如果一个像交叉检索这样的网站被劫持,那么其后果对于学术界来说将是灾难性的。“那时我们可能需要支付很大一笔赎金,或者需要创建一个全新的系统。”他说,“因为回归纸媒出版时代并不是每个科学期刊都能作出的选择。”