研究人员称亟须加强学术期刊网络安全监管

当期刊的网站管理和安全被忽视时，这种新的期刊劫持形式将日益猖獗。

资料来源:DAVIDE BONAZZI

即使按照网络欺诈故事的标准，这类事件也是厚颜无耻的。最近，《科学》杂志收到一个建议，骗子正在公开抢劫学术期刊出版商的整个互联网地址，即互联网域名，以建立一个假网站。在抢劫网站的同时，他们还劫持了这些出版商的期刊和网站流量。

自互联网搜索引擎兴起以来，网上欺诈一直如影随形，但学术期刊在过去几年里已成为欺诈的目标。通常的欺诈方法是设置一个类似的假网站地址，比如www.sciencmag.org，而不是真实的www.sciencemag.org，然后将网络流量导向这个假网站。

夺取官方域名是一种更狡猾的方法:在登陆被劫持的期刊网站后，毫无准备的访问者可能会在试图支付订阅费或购买文章的过程中泄露密码或账号。

当伊朗伊斯法罕的信息技术科学家迈赫迪·达德哈提出建议时，《科学》杂志请记者约翰·博汉南对此事进行报道。他的报告不仅证实了这一骗局是真实的，还确认了最近被洗劫24次的期刊网站的域名，并发现了这些黑客可能是如何做到的。最困难的事情是区分哪些期刊更容易遭到劫机者的攻击。一旦这些目标被识别，掠夺他们的域名将变得容易。

为了验证他的结论，博汉南自己截取了一个域名。有一天，《克罗地亚当代艺术杂志》官方域名的访问者被引导到理查德·阿斯特利1987年的经典音乐视频《永远不会放弃你》的网站。(当他们了解到这种做法时，杂志的编辑并不惊讶，因为杂志经常被指向其他域名。)

当期刊的网站管理和安全被忽视时，这种新的期刊劫持形式将日益猖獗。出版专家表示，到目前为止，这几起案件已经敲响了警钟。“其他商业领域已经在网络安全方面投入巨资，现在学术期刊需要跟上这一步伐。”学术出版顾问菲尔·戴维斯警告说,“不仅金钱，名誉和信任都处于危险之中”

强盗转向学术期刊网站

被犯罪分子忽视的学术期刊网站终于引起了关注。原因之一是今天网络出版的绝对透明。例如，去年有2万多种期刊发表了200多万篇电子文章。另一个原因可能是资本流动。今天，这个价值超过100亿美元的行业仍然与订阅相关，主要是由图书馆订购，但开放存取的收入份额日益增加。去年，这部分市场的销售额为2.5亿美元，相关利润将在未来几年再翻一番。因此，许多学术出版商的资本流动和不专业的网站管理使他们成为掠夺者有吸引力的目标。

科罗拉多大学图书管理员杰弗里·比尔一直在追踪学术出版物的滥用情况。到目前为止，他发现88种期刊有被其他网站模仿者冒充的危险。"这个名单还在继续增长。"然而，窃取一份期刊的真实互联网域名是最近的一个变化——比尔起初并没有发现这一现象，直到《科学》杂志要求他关注此事。

在窃取真正的域名之前，找到假冒的期刊域名还是比较容易的。你所要做的就是打开一个你可以信任的著名杂志的网站，比如《科学》。汤森路透计划的网站列出了12，000多个国际标准序列号、名称、网站和邮政编码。然而，由于真正的网站域名可能被盗，情况发生了变化:不再容易区分期刊是否失去了对其网站域名的控制。

在2013年被骗后，达卡开始调查期刊欺诈问题。具有讽刺意味的是，它始于他关于“网络安全”的研究论文。像无数的研究人员一样，他在一次科学会议上收到了支付600美元的研究报告的邀请。这笔钱对他来说是一大笔钱，但会议组织者承诺将他的研究成果发表在汤森路透出版的杂志上。所以，他付了钱。

然后事情开始变糟。会议是“空的”。会议没有真正的组织，也没有举行会议。报纸的出版怎么样？结果证明，它只是另一个网站上真实期刊的“克隆”。Dadkhah强烈*该网站，并最终拿回了他的钱，这是一次罕见的逃脱。从那以后，他成了期刊欺诈领域的专家。

很难发现你是否躲避这个世界。

到目前为止，还有哪些期刊被劫持了？汤森路透拒绝透露《抢劫》杂志的相关信息。但是达德哈说有两种方法可以找到被抢的期刊。首先，通过WHOIS检查计算机协议(您可以检查“谁”是特殊网络域名背后的计算机协议)。如果注册日期是最近的，但杂志已经存在了几年，这是杂志被劫持的第一个线索。同时，如果域名注册的国家与期刊出版商所在的国家不同，或者私人域名注册者匿名使用出版商的名称和联系信息，那么这就是期刊被盗的另一个线索。

博汉南自己也写了一个程序来验证达德哈的搜索方法。起初，他掠夺了科学网站上的公共记录，然后他生成了一个超过12000个期刊网络域名的列表。他对所有这些域名进行了WHOIS操作。通过过滤注册日期，博汉南生成了一个近年来“颠倒”域名的期刊列表。在查看了这些期刊的网站后，他发现进入汤森路透指数的24家期刊最近被劫持了。

到目前为止，《药品生产质量管理规范评论》和《生命统计》都是假期刊，仍然“开放”。其他几个期刊网站被用于不相关的商业目的——显然是希望从任何资金流通中获利。在某些情况下，抢劫者的动机很难估计。目前，三分之一被盗域名要么正在建设中，要么正计划出售。

例如，由哥斯达黎加大学赞助的一份在汤森路透官方网站上列出的名为《兰克斯特里亚纳》的植物学杂志，实际上从未在该大学注册过。《科学》杂志主编亚当·卡门说:“我只能想象(汤森路透)可能在《科学》的链接页面上错误地列出了另一个地址。”

这显示了一种可能的期刊掠夺方法:通过假冒的出版商，汤姆森路透被允许将假冒的域名而不是真实的域名放在科学网站的名单上，从而欺骗汤姆森路透。

亟待加强学术期刊的网络安全监管

购买具有潜在商业利润的过期域名已经存在。这些域名通常很短，并且只包含一个常见的英语单词。但事实上，学术期刊的域名往往是更长的密码，所以这些强盗肯定会形成一套策略，找到潜在的“羔羊”。博汉南说，盗墓者需要做的唯一调整是在域名截止日期之前过滤相关数据。这将产生一系列潜在的跟踪目标，并让他们决定何时“开始”。

博汉南自己试图成为一个“掠夺者”。汤森路透的科学网站使用哈特·赫尔作为当前艺术期刊的域名，这是一份由萨格勒布的南斯拉夫艺术学院创办的有50年历史的期刊，博汉南聘请了一家欧洲公司作为代理为他购买域名。但他的抢劫可能不会给读者带来不便，因为今年6月，出版商将《华尔街日报》的网站换成了一个新域名，并通知了汤森路透。《华尔街日报》的编辑桑德拉·克里兹·罗班说，“所以汤森路透已经知道这个新域名了。”然而，随着期刊付印时间的临近，《科学》网站列表上的域名仍然是作者目前控制的原始域名。

然而，这绝不是被劫持的杂志的最后一个域名。“许多出版商仍然扎根于印刷行业，从来不知道如何运营网站的细节。”《科学》的前编辑斯图尔特·威尔斯说，“所以当一个法案出台时，它就变成了一个裂缝。因此，有必要进行仔细的调查，雇用足够的人员，或采用外部网站供应商，否则不专业的在线操作将带来极高的成本。”

处于危险之中的不仅仅是小型期刊出版商。整个出版业依靠数字识别码(DOI)为学术文章创建网络地址。然而，由于doi.org网站的域名过期，该系统于今年1月停止运行。“对于我们系统中的所有冗余设备，如多台服务器、多个托管网站、Raid驱动器和冗余电源，很难通过简单的管理进行控制。”DOI系统维护组织CrossRef的博客写道，“事实上，我们对此负有很大责任”。

戴维斯说，如果像交叉搜索这样的网站被劫持，后果将是学术界灾难性的。"我们可能不得不支付一大笔赎金或者创建一个全新的系统."他说，“因为回到印刷出版时代并不是每个科学杂志都能做出的选择。”(李冯公主)

中国科学新闻(2015-125，第三版国际)