研究人員稱亟須加強學術期刊網絡安全監管

　　即便是用互聯網詐騙故事的標準衡量，這種事件也是厚顏無恥的。近日，《科學》雜志收到的一條建議稱，騙子正在公然地從學術期刊出版商那里搶奪整個因特網地址，即因特網域名，并以此建立虛假網站。在打劫網站的同時，他們還劫持這些出版商的期刊及網站流量。

　　自因特網搜索引擎崛起以來，網絡詐騙一直如影隨形，但過去幾年來學術期刊成了被詐騙的目標。通常的詐騙方法是建立一個糊弄人的類似虛假網站地址，比如建立www.sciencmag.org，而不是真實的www.sciencemag.org，然后將網絡流量引導至這個虛假網站。

　　搶奪官方域名則是一種更加狡猾的手段：措手不及的訪問者在登陸被劫持的期刊網站之后，在試圖支付訂閱費用或購買文章時，可能會在此過程中泄露密碼或賬號。

　　當伊朗伊斯法罕信息技術科學家Mehdi Dadkhah發來相關建議之后，《科學》雜志請記者John Bohannon報道了這件事情。他的報道不僅確定此次騙局是真實的，同時辨別出近期24次被劫掠的期刊網站域名，還發現了這些黑客可能如何做這件事情。最難得的是區分哪些期刊在劫持者面前更脆弱。一旦這些目標被確定，劫掠它們的域名就成為易事。

　　為了檢測他的結論，Bohannon本人也攔截了一個域名。在一天內，訪問克羅地亞當代藝術學雜志官方域名的訪問者被導向了理查德·艾斯特利1987年的一段經典音樂視頻“永不放棄你”的網址。（當他們得知該做法后，該期刊編輯并沒有感到詫異，因為該期刊經常被別人導向其他域名。）

　　當期刊的網站管理和安全被忽視時，這種新形式的期刊劫持就會日益猖獗。出版專家表示，到目前為止這些為數不多的案例已經敲響了警鐘。“其他的商業領域在網絡安全方面投入巨大，現在學術期刊也需要緊跟這一步伐。”學術出版業咨詢師Phil Davis警告稱，“處于危險之中的不僅是金錢，還有名譽和信任。”

　　打劫者轉而聚焦學術期刊網站

　　一直被犯罪分子忽視的學術期刊網站終于獲得了關注。其中的原因之一是如今在線出版的絕對透明度，比如去年2萬多家期刊發表了200多萬篇電子文章。另一個原因可能是資金流程。如今，這個價值100多億美元的產業仍然和訂閱相關聯，主要是由圖書館訂購，但開放獲取通道的收入份額正在日益增長。去年，這一部分市場占到2.5億美元，未來幾年內相關利潤將再翻一番。因此，很多學術出版商的資金流通和非專業的網站管理使它們成為被搶劫者“瞄上”的誘人目標。

　　科羅拉多大學圖書管理員Jeffrey Beall一直在跟蹤學術出版的濫用情況。到目前為止，他發現了88家期刊面臨被其他網站模仿者冒充的危險。“這個名單還在持續增長。”但是搶劫一家期刊的真實網絡域名是一種新近發生的轉變——Beall一開始并沒有發現這一現象，直到《科學》出版社請他跟蹤這件事情。

　　在搶劫真實域名之前，期刊域名造假仍比較容易發現。你所做的只是需要打開一個值得信賴的有名期刊的網址，比如《科學》網站。這個由湯森路透策劃的網站列舉了12000余家國際標準序列號（ISSN）、名稱、網站以及郵編。但是自從可以打劫真實的網站域名之后，現在情況轉變了：想要區分一家期刊是否失去了對其網站域名的控制權不再是一件容易的事情。

　　從2013年被騙之后，Dadkhah開始調查期刊欺詐問題。具有諷刺意味的是，事情是從他關于“互聯網安全性”的研究論文開始的。和無數研究人員一樣，他收到一封在一次科學會議上作研究報告要繳納600美元的邀請函。這些錢對他來說是一筆不小的資金，但是會議組織者承諾將會在湯森路透出版的一家期刊上發表他的研究成果。所以，他付了錢。

　　然后，事情的發展開始出現偏差。這次會議是“虛的”，根本沒有真實的會議組織，也沒有舉行任何會議。那么論文發表呢？結果被證明那根本就是真實期刊在另一個不用網站上的“克隆”體。Dadkhah于是對該網站進行了強烈抗議，最終要回了他的錢——可謂是難得的逃脫。從那時起，他就成為一名期刊詐騙領域的專家。

　　瞞天過海難以發現

　　到目前為止，還有哪些期刊被劫持過？湯森路透拒絕披露期刊打劫的相關信息。但是Dadkhah表示，有兩種發現期刊被打劫的方式。首先，通過WHOIS（可以查詢“誰”位于一個特別網絡域名背后的計算機協定）核查計算機協定。如果注冊日期是新近的，但是該期刊已經存在了數年，這就是期刊被劫持的第一個線索。同時，如果域名的注冊國家和該期刊出版商所在國不同，或者出版商的名字和聯系信息被私人域名注冊者匿名使用，那么這就是期刊遭打劫的另一個線索。

　　Bohannon本人也編寫了一個程序用來驗證Dadkhah的搜索方法。一開始他劫掠了《科學》網站上可以獲取的公開記錄，隨后產生了超過1.2萬個期刊網絡域名的名單。他對這些域名全部進行了WHOIS操作。通過過濾注冊日期，Bohannon生成了一份近年來網絡域名曾“倒過手”的期刊名單。對這些期刊的網站進行檢測后，他發現進入湯森路透索引的24家期刊近期曾遭到過劫持。

　　到目前為止，GMP評論和Ludus Vitalis是仍然“營業”的冒牌期刊。其他若干期刊網站則被用于不相關的商業用途——明顯希望從任何資金流通中獲利。在一些案例中，劫掠者的動機則很難估計。現在，有1/3的被打劫域名或是處于籌建中或是打算被賣掉。

　　比如，湯森路透官網上列出的一家由哥斯達黎加大學主辦、名為Lankesteriana的植物學期刊，實際上從未被該校注冊過，該期刊主編Adam Karremans說：“我只能設想（湯森路透）可能是錯誤地把別的地址列入了《科學》網站鏈接網頁。”

　　這表明了一種可能的期刊劫掠方法：通過假冒出版商，讓湯森路透把虛假的域名代替真實的域名放在《科學》網站名單上，以此瞞天過海，愚弄湯森路透。

　　亟須加強學術期刊網絡安全監管

　　購買過期但存在潛在商業利潤的域名交易已然存在。這些域名往往很短，僅由一個常見的英語詞匯組成。但實際上學術期刊域名經常是較長的密碼，因此這些打劫者一定會形成一套策略并找到潛在的“羔羊”。Bohannon表示，打劫者需要進行的唯一調整就是通過域名的截止日期過濾相關數據。這樣將會產生一系列潛在的追蹤目標，并讓其決定何時“下手”。

　　Bohannon本人也嘗試做了一次“打劫者”。湯森路透《科學》網站中用Hart.hr作為《現在藝術期刊》——由位于薩格勒布市的南斯拉夫藝術研究所創辦的有50年歷史的一家期刊——的域名，Bohannon雇傭一家歐洲公司作為代理替他購買了這個域名。但是他的打劫可能不會對讀者造成不便，因為今年6月出版商已經把該期刊的網址轉到一個新的域名，并且通知了湯森路透。該期刊編輯Sandra Krizic Roban說，“所以湯森路透已經知道了新的域名。”但隨著該期刊交付印刷的時間即將到來，《科學》網站名單上的域名卻仍然是目前被作者控制的原始域名。

　　然而，這絕不會是最后一個被劫持的期刊域名。“很多出版商仍然扎根在印刷世界中，從不了解如何經營一個網站的細節。”《科學》網站原編輯Stewart Wills說，“所以一筆賬單進來后卻掉入裂隙中。因此需要審慎調查、雇傭充足的人手，或是采用外部網站供應商等，否則網上操作不專業會帶來極高的代價。”

　　處于危險之中的不僅是小期刊出版商。整個出版界都需要依賴數字辨識碼（DOI）為學術文章制作網絡地址。然而，這一系統在今年1月已經停止工作，因為doi.org網站域名期滿。“對于我們系統中的所有冗余設備來說，比如多個服務器、多個托管網站、Raid驅動器以及冗余的電源等，通過簡單的管理工作很難控制。”DOI系統維護組織CrossRef的博客寫道，“的確，我們深感責任重大。”

　　Davis說，如果一個像交叉檢索這樣的網站被劫持，那么其后果對于學術界來說將是災難性的。“那時我們可能需要支付很大一筆贖金，或者需要創建一個全新的系統。”他說，“因為回歸紙媒出版時代并不是每個科學期刊都能作出的選擇。”