医学期刊的网络安全监管问题不容忽视

自网络搜索引擎崛起以来，网络诈骗一直如影随形，但过去几年来医学学术期刊成了 被诈骗的目标。通常的诈骗方法是建立一个糊弄人的类似虚假网站地址，然后将网络流量 引导至这个虚假网站。抢夺官方域名则是一种更加狡猾的手段：措手不及的访问者在登陆 被劫持的医学期刊网站之后，在试图支付订阅费用或购买文章时，可能会在此过程中泄露 密码或账号。当医学期刊的网站管理和安全被忽视时，这种新形式的医学期刊劫持就会日 益猖獗。 即便是用互联网诈骗故事的标准衡量，这种事件也是厚颜无耻的。近日，有一条建议 称，骗子正在公然地从学术期刊出版商那里抢夺整个因特网地址，即因特网域名，并以此 建立虚假网站。在打劫网站的同时，他们还劫持这些出版商的期刊及网站流量。 当伊朗伊斯法罕信息技术科学家 MehdiDadkhah 发来相关建议之后，记者 JohnBohannon 报道了这件事情。他的报道不仅确定此次骗局是真实的，同时辨别出近期 24 次被劫掠的期刊网站域名，还发现了这些黑客可能如何做这件事情。最难得的是区分哪 些期刊在劫持者面前更脆弱。一旦这些目标被确定，劫掠它们的域名就成为易事。 为了检测他的结论，Bohannon 本人也拦截了一个域名。在一天内，访问克罗地亚当代 艺术学杂志官方域名的访问者被导向了理查德艾斯特利 1987 年的一段经典音乐视频永不 放弃你的网址。当他们得知该做法后，该期刊编辑并没有感到诧异，因为该期刊经常被别 人导向其他域名。 一直被犯罪分子忽视的医学学术期刊网站终于获得了关注。其中的原因之一是如今在 线出版的绝对透明度，比如去年 2 万多家期刊发表了 200 多万篇电子文章。另一个原因可 能是资金流程。如今，这个价值 100 多亿美元的产业仍然和订阅相关联，主要是由图书馆 订购，但开放获取通道的收入份额正在日益增长。去年，这一部分市场占到 2.5 亿美元， 未来几年内相关利润将再翻一番。因此，很多学术出版商的资金流通和非专业的网站管理 使它们成为被抢劫者瞄上的诱人目标。 在抢劫真实域名之前，期刊域名造假仍比较容易发现。你所做的只是需要打开一个值 得信赖的有名期刊的网址。这个由汤森路透策划的网站列举了 12000 余家国际标准序列号 （ISSN）、名称、网站以及邮编。但是自从可以打劫真实的网站域名之后，现在情况转变 了：想要区分一家期刊是否失去了对其网站域名的控制权不再是一件容易的事情。 从 2013 年被骗之后，Dadkhah 开始调查期刊欺诈问题。具有讽刺意味的是，事情是从 他关于互联网安全性的研究论文开始的。和无数研究人员一样，他收到一封在一次科学会 议上作研究报告要缴纳 600 美元的邀请函。这些钱对他来说是一笔不小的资金，但是会议 组织者承诺将会在汤森路透出版的一家期刊上发表他的研究成果。所以，他付了钱。 然后，事情的发展开始出现偏差。这次会议是虚的，根本没有真实的会议组织，也没 有举行任何会议。那么论文发表呢？结果被证明那根本就是真实期刊在另一个不用网站上 的克隆体。Dadkhah 于是对该网站进行了强烈抗议，最终要回了他的钱可谓是难得的 逃脱。从那时起，他就成为一名期刊诈骗领域的专家。 科罗拉多大学图书管理员 JeffreyBeall 一直在跟踪学术出版的滥用情况。到目前为止， 他发现了 88 家期刊面临被其他网站模仿者冒充的危险。这个名单还在持续增长。但是抢劫 一家期刊的真实网络域名是一种新近发生的转变Beall 一开始并没有发现这一现象，直 到出版社请他跟踪这件事情。 到目前为止，还有哪些医学期刊被劫持过？汤森路透拒绝披露期刊打劫的相关信息。 但是 Dadkhah 表示，有两种发现期刊被打劫的方式。首先，通过 WHOIS（可以查询谁位于 一个特别网络域名背后的计算机协定）核查计算机协定。如果注册日期是新近的，但是该 期刊已经存在了数年，这就是期刊被劫持的第一个线索。同时，如果域名的注册国家和该 期刊出版商所在国不同，或者出版商的名字和联系信息被私人域名注册者匿名使用，那么 这就是期刊遭打劫的另一个线索。 Bohannon 本人也编写了一个程序用来验证 Dadkhah 的搜索方法。一开始他劫掠了科 学网站上可以获取的公开记录，随后产生了超过 1.2 万个期刊网络域名的名单。他对这 些域名全部进行了 WHOIS 操作。通过过滤注册日期，Bohannon 生成了一份近年来网络域 名曾倒过手的期刊名单。对这些期刊的网站进行检测后，他发现进入汤森路透索引的 24 家 期刊近期曾遭到过劫持。到目前为止，GMP 评论和 LudusVitalis 是仍然营业的冒牌期刊。 其他若干期刊网站则被用于不相关的商业用途明显希望从任何资金流通中获利。在一 些案例中，劫掠者的动机则很难估计。现在，有 1/3 的被打劫域名或是处于筹建中或是打 算被卖掉。 比如，汤森路透官网上列出的一家由哥斯达黎加大学主办、名为 Lankesteriana 的植物 学期刊，实际上从未被该校注册过，该期刊主编 AdamKarremans 说：我只能设想（汤森路 透）可能是错误地把别的地址列入了网站链接网页。这表明了一种可能的期刊劫掠方法： 通过假冒出版商，让汤森路透把虚假的域名代替真实的域名放在科学网站名单上，以 此瞒天过海，愚弄汤森路透。 购买过期但存在潜在商业利润的域名交易已然存在。这些域名往往很短，仅由一个常 见的英语词汇组成。但实际上学术期刊域名经常是较长的密码，因此这些打劫者一定会形 成一套策略并找到潜在的羔羊。Bohannon 表示，打劫者需要进行的唯一调整就是通过域名 的截止日期过滤相关数据。这样将会产生一系列潜在的追踪目标，并让其决定何时下手。 Bohannon 本人也尝试做了一次打劫者。汤森路透网站中用 Hart.hr 作为现在艺术期刊 由位于萨格勒布市的南斯拉夫艺术研究所创办的有 50 年历史的的域名， Bohannon 雇佣一家欧洲公司作为代理替他购买了这个域名。但是他的打劫可能不会对读者 造成不便，因为今年 6 月出版商已经把该期刊的网址转到一个新的域名，并且通知了汤森 路透。医学期刊编辑 SandraKrizicRoban 说，汤森路透已经知道了新的域名-医学期刊 1760405151 企鹅但随着该期刊交付印刷的时间即将到来，网站名单上的域名却仍然是目前 被作者控制的原始域名。然而，这绝不会是最后一个被劫持的期刊域名。很多出版商仍然 扎根在印刷世界中，从不了解如何经营一个网站的细节。网站原编辑 StewartWills 说，所 以一笔账单进来后却掉入裂隙中。因此需要审慎调查、雇佣充足的人手，或是采用外部网 站供应商等，否则网上操作不专业会带来极高的代价。 Davis 说，如果一个像交叉检索这样的网站被劫持，那么其后果对于学术界来说将是灾 难性的。那时我们可能需要支付很大一笔赎金，或者需要创建一个全新的系统。他说，因 为回归纸媒出版时代并不是每个科学期刊都能作出的选择。 处于危险之中的不仅是小期刊 出版商。整个出版界都需要依赖数字辨识码（DOI）为学术文章制作网络地址。然而，这一 系统在今年 1 月已经停止工作，因为 网站域名期满。对于我们系统中的所有冗余设 备来说，比如多个服务器、多个托管网站 Raid 驱动器以及冗余的电源等，通过简单的管理 工作很难控制。DOI 系统维护组织 CrossRef 的博客写道，的确，我们深感责任重大。 IvanOransky，Retractionwatch 网站的创始人之一对此评论，最好的期刊总是会吸引到那些 企图造假的作者。然而他也补充到，这些期刊的读者更多、被引次数更多，吸引更多的眼 球，这可以解释那些高水平的期刊为什么会有更多的撤稿。 几周前，我挖掘了一些学术出版中同行评审的问题，注意到即使是那些顶级杂志也曾 发表过一些有严重错误的论文。然而，这个即使也许是多余的。也许相比一般期刊，顶级 期刊有更大可能发表有问题的研究呢？有一位来自德国的神经基因组学家，最近研究了论 文可信度的问题，特别关注了那些在期刊上发表了有问题的论文随后又撤稿的事件。令人 吃惊的是，他发现这些论文更多地出现在权威期刊上。他在一封邮件中说，如果你把所有 的期刊按照权威性排序，那些最权威的期刊也许发表的科学结论是最不可信的（至少当你 寻找那些在实验领域的可信证据的时候）。他总结了以下原因：顶级期刊更乐意接受那些 太好了以至于看起来不像真的的数据；在顶级期刊上发文能改变学者的职业生涯，所以人 们会为之而不择手段；编辑的水平也许不如看这些文章的科学家；顶级期刊也许处于人们 更多的监视之下。 如作者所说，这张图表揭示了令人惊讶的期刊撤稿指数和影响因子之间的关联性。尽 管关联不意味着因果关系，这个初步的调查也在某种程度上表明了在高影响因子期刊上发 表的文章有更高的几率被撤稿。究竟是顶级期刊发表了更多的问题文章，还是因为他们受 到了更多的关注？所谓的出版后同行评审网站，PubPeer 也有其他有趣的数据。这个网站 为学者们提供了一个讨论和批评已发表论文的论坛。这些评论通常是负面的和具体的（比 如说专门指出某个作者的数据错误、或者是选择方法的问题）。在这里，同样的是，顶级 期刊吸引了数量最多的评论。 有学者认为，顶级期刊似乎有着更高的撤稿率，问题论文的数量和期刊的权威性之间 存在着联系。在 2011 年，两位美国的微生物学家研究了期刊的撤稿率，发现期刊影响因子 和撤稿率之间存在着强关联性。某些高影响因子期刊，包括 NEJM、Science 和 Cell，也有 着更高的撤稿指数。 然而，数据当中也存在着一些疑点。比如，在 PubPeer 上排名第一的 Nature，收到的 评论几乎是排名第三的 Science 的两倍，是 Lancet 的 10 倍。如果说 PubPeer 上的基础科研 工作者比临床工作者更多，那么 Lancet 表现得更为低调也就不足为怪了。但也许 Nature 确 实是一个离群值，同为基础科学方面的期刊，也许 Science 确实有值得学习的地方？高撤 稿率也从侧面折射出了权威期刊更加具有责任感。撤稿事件并不常见，除非期刊对此特别 在意。对于 NEJM 这样的期刊来说，他们会对批评承担责任，这样看来撤稿并不是一件坏 事。 所以究竟发生了什么有很多可能的解释。比如，PubPeer 的数据