警惕!学术期刊网站遭遇大范围黑客袭击,不小心就上当!

2015-11-21 SCIENCE特约记者John 解螺旋

Science科学出版社不久之前收到伊朗信息技术科学家 Mehdi Dadkhah的警告,期刊杂志出现仿冒网址的钓鱼网站,比如使用类似的访问地址www.sciencemag.org(原网站是www.sciencmag.org,注意这里少了一个e, 科研人员往往并不敏感,容易被忽略),盗取访问流量并从中获利。本文作者John(下文以第一人称描述)针对此事进行了调查,发现各大学术期刊几乎都有类似的

Science科学出版社不久之前收到伊朗信息技术科学家 Mehdi Dadkhah的警告,期刊杂志出现仿冒网址的钓鱼网站,比如使用类似的访问地址www.sciencemag.org(原网站是www.sciencmag.org,注意这里少了一个e, 科研人员往往并不敏感,容易被忽略),盗取访问流量并从中获利。本文作者John(下文以第一人称描述)针对此事进行了调查,发现各大学术期刊几乎都有类似的遭遇,更有直接抢注期刊域名事件的发生。黑客不仅把魔抓伸到了科研领域,而且越来越肆意妄为。

类似事件在MedSci上被许多网友提醒,如:http://www.medsci.cn/sci/submit.do?id=d53611022,这个杂志就有很多网友上当,目前国内只有MedSci上公布的是真实的。

另外,这个冰岛的杂志,也有很多人上当:http://www.medsci.cn/sci/submit.do?id=a2177589,MedSci上早就揭露这种可耻行为!


学术期刊网站为何被攻击

长期以来,学术期刊网站都没有受到网络犯罪分子的注意,为何近来会突然大批被黑呢?首先归因于现今的在线出版规模——去年超过20000种期刊出版了超过200万篇的数字文章;第二是资金流入途径的转变。虽然这个价值100亿美元产业的大部分收入还是来自图书馆订阅等途径,但开放获取出版收费正占据着越来越多的比例,在该模式下,被接收论文的作者将对文章的出版提前付费,这部分费用在去年约有2.5亿美元并有望在几年内翻倍。现金流的大幅上涨加上学术期刊网站安全等级偏低,使许多学术出版商成为了被攻击的香饽饽。

网站被攻击的手段

自从互联网搜索引擎的兴起,钓鱼网站便随之一路猖獗,只是近年来才把学术期刊锁定为目标。通常做法如上面所述,建立网址类似的钓鱼网站来偷流量,毫无戒心的用户将使用正确密码登录期刊网址,并在上面支付订阅或发表的文章相关费用,更恶劣的就是抢注期刊域名(这跟期刊本身域名管理意识薄弱息息相关)。来自科罗拉多大学的Jeffrey Beall确定了88个杂志网址被假冒(使用类似网址欺骗用户),这些名单将会越来越长。在收到Mehdi Dadkhah的警告后,我对此事进行了调查,确定了24个被黑客抢夺的期刊域名。

何为抢注域名?咱们现在的网址都是跟服务商买的或者说是租的,有个有效期。举个例子,比如SCIENCE的www.sciencemag.org买了十年的使用权,在这十年里建设的风生水起,唯一不完美的就是,十年太长,公司内部根本没人记得域名到了续费的时候了!可偏偏外面有人惦记着呢,你这刚过去一分钟,他就把域名拿下了。私人注册公司根本不对域名购买者进行相关资质审查,结果Duang,大家用起来的时候还跟原来一模一样的,但其实IP地址已经进行了更改(如下图所示):



悲剧案例1. Euromed Communications

来自英国的生物医学期刊和书籍的出版商 Euromed Communications深受其害,几年前,公司的创始董事去世后,公司在进行管理改组时发现了一张只有十美元的账单,是公司网站域名的年费,再注册时发现已经被其他人抢购。尽管公司之后把所有服务移去新的网址,但不停的收到愤怒的研究人员的追责邮件,因为他们支付公司旗下杂志GMP Review的订阅费用后一无所获。直到今天,使用谷歌引擎搜索GMP Review出来的都是旧的域名。进去后只有一个容易被人忽视的不同之处,就是缺少编辑的联系方式,取而代之的是一个“contact”按钮,把访问者直接引入黑客的虎口。

悲剧案例2. Ludus Vitalis

同样的命运降临到了来自墨西哥的科学哲学杂志Ludus Vitalis头上,更惨的是,它不仅官方域名被抢注,网站被克隆,假的网址竟然开始接收文章了!只要花150美元,你就能在假的Ludus Vitalis网站上发表文章,还真有来自各学科源源不断的论文不断被公布于众。目前Ludus Vitalis拒绝对此事发表任何评论。




其实在域名抢注之前,你只要稍加注意,就能避免悲剧的发生。比如投稿或者付费之前去Web of Science网站找知名期刊列表,在汤森路透的策划下,超过12,000个期刊的国际标准的序列号(ISSNs)、名字、网址和邮政地址都被收录其中。不过现在看来,如果期刊已经失去了自己域名的所有权,看那个也没什么用了。

Science的前网络编辑Stewart Wills指出许多出版商思维还是根植于传统的打印世界,忽视了运营网站的诸多细节,需要尽快调查、雇佣足够的员工或使用一个外部网站供应商。业内人士警告,其他行业都在大举投资网络安全建设,而很多期刊杂志对网站管理和安全没有那么重视,如果任其发展,除了金钱,声誉和信任将一并失去!

原始出处:Feature: How to hijack a journal 

建议大家下载MedSci医学APP,上面有全部的SCI期刊,而且不断预警类似欺骗行为,防止上当受骗!

相关资讯

学术界“神刊”——PLoS One的脑洞到底有多大?

上周,一篇发表在《公共科学图书馆·综合》(PLoS One)上的文章刷遍朋友圈~

Science新闻:学术期刊正致力于解决作者重名的问题

  (左中右三个人名字都叫Alexander Smiths, 但只有一个是在《hyperkahler geometry》杂志上发表文章的科学家,猜猜看是哪个?(答案是中间那个)。 图片摘自sciencemag.com) 姓名并不是独一无二的,这一特点在每个人刚出生时就出现了。如果你的名字是“Williams, Johnson 或者Smith”(美国最常见的几种名字)的话,大家如

Nature:学术期刊论文发表等待时间过长引科学家热议

美国加州大学旧金山分校一名生物和医学信息学博士生Daniel Himmelstein说,从编制的3476家期刊中发现,它们的平均出版时间为3~100天不等。 他在博客中指出,长期推延是很常见的。在他这个领域的16家期刊中,《PLoS计算机生物学》是最差的,平均等待时间为57天。《PLoS遗传学》也不甘落后。(Nature的平均等待时间为48天。) 博客中的帖子在社交媒体上引起了

Cell Research荣获2014中国最具国际影响力学术期刊自然科学类榜首!

日前,中国学术期刊光盘版电子杂志社与清华大学图书馆联合开展研究,以国际化视野,检索了6400多种中国学术期刊被1.4万多种国际学术期刊的引证情况,并且通过计量分析和同行专家评议,研制了2014年中国学术期刊国际影响力引证报告。 这是2012年以来第三次发布该引证报告。统计单位希望通过中国最具国际影响力学术期刊排名的发布,为国产学术期刊“树品牌”。统计显示,2013年,我国共有4021种科技期

Nature:学术期刊权衡双盲同行评议

为了增加学术出版的公平性,一些期刊正在试用“双盲”评议理念,即评审者和作者不知晓彼此身份。 一直以来,一些研究人员担忧衡量自己递交给出版社的手稿标准不是质量,而是作者名望。尽管作者极少会被告知负责评议其作品的人是谁,但评审者通常了解手头的作品出自谁手。 但日前刊登于《保护生物学》期刊上的研究揭示,期刊应当考虑进行“双盲”同行评议。双盲同行评议广泛用于人类学和社会学领域,但几乎没有科技期刊采取这种方

2013中国最具国际影响力学术期刊出炉

“2013中国最具国际影响力学术期刊”、“2013中国国际影响力优秀学术期刊”遴选工作日前已由中国学术期刊(光盘版)电子杂志社、清华大学图书馆、中国科学文献评价中心完成,31日正式对外发布,科技界和社科界462种学术期刊分别入选两个名单。同时,作为上述遴选工作重要依据的《中国学术期刊国际引证报告(2013版)》(简称“CNKI-JCR”),也已通过70位期刊评价研究专家最终评审,并正式发布。据中国