即便是用互联网诈骗故事的标准衡量,这种事件也是厚颜无耻的。近日,《科学》杂志收到的一条建议称,骗子正在公然地从学术期刊出版商那里抢夺整个因特网地址,即因特网域名,并以此建立虚假网站。在打劫网站的同时,他们还劫持这些出版商的期刊及网站流量。
自因特网搜索引擎崛起以来,网络诈骗一直如影随形,但过去几年来学术期刊成了被诈骗的目标。通常的诈骗方法是建立一个糊弄人的类似虚假网站地址,比如建立www.sciencmag.org,而不是真实的www.sciencemag.org,然后将网络流量引导至这个虚假网站。
抢夺官方域名则是一种更加狡猾的手段:措手不及的访问者在登陆被劫持的期刊网站之后,在试图支付订阅费用或购买文章时,可能会在此过程中泄露密码或账号。
当伊朗伊斯法罕信息技术科学家Mehdi Dadkhah发来相关建议之后,《科学》杂志请记者John Bohannon报道了这件事情。他的报道不仅确定此次骗局是真实的,同时辨别出近期24次被劫掠的期刊网站域名,还发现了这些黑客可能如何做这件事情。最难得的是区分哪些期刊在劫持者面前更脆弱。一旦这些目标被确定,劫掠它们的域名就成为易事。
为了检测他的结论,Bohannon本人也拦截了一个域名。在一天内,访问克罗地亚当代艺术学杂志官方域名的访问者被导向了理查德·艾斯特利1987年的一段经典音乐视频“永不放弃你”的网址。(当他们得知该做法后,该期刊编辑并没有感到诧异,因为该期刊经常被别人导向其他域名。)
当期刊的网站管理和安全被忽视时,这种新形式的期刊劫持就会日益猖獗。出版专家表示,到目前为止这些为数不多的案例已经敲响了警钟。“其他的商业领域在网络安全方面投入巨大,现在学术期刊也需要紧跟这一步伐。”学术出版业咨询师Phil Davis警告称,“处于危险之中的不仅是金钱,还有名誉和信任。”
打劫者转而聚焦学术期刊网站
一直被犯罪分子忽视的学术期刊网站终于获得了关注。其中的原因之一是如今在线出版的绝对透明度,比如去年2万多家期刊发表了200多万篇电子文章。另一个原因可能是资金流程。如今,这个价值100多亿美元的产业仍然和订阅相关联,主要是由图书馆订购,但开放获取通道的收入份额正在日益增长。去年,这一部分市场占到2.5亿美元,未来几年内相关利润将再翻一番。因此,很多学术出版商的资金流通和非专业的网站管理使它们成为被抢劫者“瞄上”的诱人目标。
科罗拉多大学图书管理员Jeffrey Beall一直在跟踪学术出版的滥用情况。到目前为止,他发现了88家期刊面临被其他网站模仿者冒充的危险。“这个名单还在持续增长。”但是抢劫一家期刊的真实网络域名是一种新近发生的转变——Beall一开始并没有发现这一现象,直到《科学》出版社请他跟踪这件事情。
在抢劫真实域名之前,期刊域名造假仍比较容易发现。你所做的只是需要打开一个值得信赖的有名期刊的网址,比如《科学》网站。这个由汤森路透策划的网站列举了12000余家国际标准序列号(ISSN)、名称、网站以及邮编。但是自从可以打劫真实的网站域名之后,现在情况转变了:想要区分一家期刊是否失去了对其网站域名的控制权不再是一件容易的事情。
从2013年被骗之后,Dadkhah开始调查期刊欺诈问题。具有讽刺意味的是,事情是从他关于“互联网安全性”的研究论文开始的。和无数研究人员一样,他收到一封在一次科学会议上作研究报告要缴纳600美元的邀请函。这些钱对他来说是一笔不小的资金,但是会议组织者承诺将会在汤森路透出版的一家期刊上发表他的研究成果。所以,他付了钱。
