科技期刊釣魚網站常用技術手段分析
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了科技期刊釣魚網站常用技術手段分析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要【目的】分析科技期刊釣魚網站常用技術手段,并提出防范措施。【方法】總結科技期刊釣魚網站屢禁不止的原因,分析釣魚網站常用的技術手段,從科技期刊、作者、政府相關部門、互聯網企業等方面提出防范科技期刊釣魚網站的具體措施。【結果】假冒科技期刊官方網站網址和利用漏洞攻擊科技期刊官方網站是科技期刊釣魚網站常用技術手段。為了遏制釣魚網站的不法行為,科技期刊編輯部需重視網絡安全建設,并努力提升官方網站的可見度;作者應提高防范意識;政府相關部門需提高監管水平;互聯網企業應加大防范力度。【結論】只要科技期刊、作者、政府相關部門、互聯網企業等多方共同采取切實有效的防范措施,定會讓釣魚網站再無可乘之機。
關鍵詞科技期刊;釣魚網站;技術手段;防范措施
1科技期刊釣魚網站屢禁不止的原因
目前,相關部門和從業人員已經對科技期刊釣魚網站進行了嚴厲的打擊,但這顆危害科研成果發表的毒瘤卻屢禁不止,其原因主要表現在以下幾方面。
1.1科技供需不平衡為不法分子提供了可乘之機
目前,我國各科教單位對在職人員的考評制度和研究生培養制度均要求發表科技論文,導致在科技期刊上發表學術論文的需求一直很旺盛,而我國科技期刊,特別是高層次的科技期刊數量又相對較少,致使學術供需嚴重不平衡,作者在高層次科技期刊發表學術論文較難。這種現狀為釣魚者提供了可乘之機,不法分子利用作者想發論文的心理,通過盜用科技期刊官方網站信息、在期刊官方網站插入包含危險內容的HTML代碼、仿冒官方網站頁面風格、設置跟官方網站相同的欄目等手段對作者進行詐騙,牟取暴利[6]。
1.2網絡監管不到位
網絡作為新時代的產物,發展十分迅速。在此過程中政府給予了高度重視,但由于網絡監管工作的特殊性及監管主體的復雜性,目前監管中仍存在思想認識不足和管理手段欠缺等問題,導致我國網絡監管立法滯后、相關法律法規的效力有限和可操作性較弱、監管技術落后、監管政策失衡等。以上諸多因素導致科技期刊釣魚網站猖獗,破壞了網絡通信環境和諧,嚴重損害了科技期刊的公信力和作者的切身利益。
1.3作者的安全意識和法律意識薄弱
通過對周圍受騙作者的調查發現,受騙對象大多數是初次投稿、沒有投稿經驗、缺乏安全意識的研究生作者。作者之所以上當受騙,主要原因是對科技期刊釣魚網站防范意識太薄弱,直接百度查找期刊網站投稿,缺乏對科技期刊釣魚網站的甄別能力和應對釣魚者發起網絡攻擊的能力。受騙后,大部分作者由于法律意識薄弱,抱著息事寧人的態度而不愿意利用法律維護自己的權益,這反而助長了釣魚者的氣焰,導致科技期刊釣魚網站越禁越多。
1.4科技期刊編輯部對網絡安全的重視程度不夠
科技期刊編輯部對網絡空間安全缺乏深度認識,重視程度不夠,導致科技期刊官方網站從一開始制作時就未將網絡安全放在首位。再者,科技期刊編輯人員受專業限制,缺乏網絡安全知識。在此背景下,開發的官方網站和投稿系統本身就存在安全隱患,容易被釣魚者攻擊。為了避免上述情況,許多科技期刊委托其他專業公司(如北京勤云科技發展有限公司)為自己提供投稿平臺,如此以來官方網站和投稿系統的安全性就有了一定的保障。但由于編輯部缺乏網絡安全人才,官方網站和投稿系統的日常安全維護跟不上,導致官方網站和投稿系統沒人管理,這就加大了釣魚者入侵的風險。
2科技期刊釣魚網站常用的技術手段
分析科技期刊釣魚網站常用的技術手段有助于各方對之加以甄別和防范。通過對一些釣魚網站的分析,筆者發現科技期刊釣魚網站所用的技術手段主要有以下幾種。
2.1假冒科技期刊官方網站網址
由于科技期刊釣魚網站的主要目的是通過假冒科技期刊官方網站,欺騙作者向其釣魚在線投稿系統、郵箱投稿,通過收取巨額版面費或騙取作者稿件等手段牟利,所以釣魚者經常使用各種手段偽造科技期刊官方網站URL,將作者引導至釣魚網站。這種技術手段主要有以下幾種表現形式。2.1.1虛假URL作者投稿時,鑒別投稿網站的常用方法是檢查瀏覽器地址欄中顯示的URL地址。釣魚者為了達到欺騙作者的目的,一般會注冊一個跟期刊官方網站很相似的域名。由于大多數瀏覽器以無襯線字體顯示URL,因此釣魚者往往使用相似字符或特殊字符來迷惑作者。比如,瀏覽器域名顯示欄里小寫“l”和大寫“I”很難被區分,所以釣魚者就用Iibedit.cn偽造libedit.cn。還有的釣魚者將申請域名的一部分插入其中,冒充官方網站真實域名。例如用libedit-XXXXXXX.cn冒充libedit.cn。2.1.2URL隱藏假冒URL的另一種方法利用了URL語法中一種較少用到的特性[9]。超文本傳輸協議(HyperTextTransferProtocol,HTTP)規定的URL完整格式是,其中IP地址或主機名為平時使用的URL地址,而URL真正起解析作用的網址是從@后面開始的。釣魚者利用這一原理,用“正規期刊網址@釣魚網站網址”的形式欺騙作者。2.1.3利用URL編碼原理偽裝URL不法分子為了提高釣魚網站與科技期刊官方網站域名的相似度來更好地迷惑作者,還會利用URL編碼原理來仿冒真實URL。2.1.4利用IP地址直接指向釣魚網站釣魚者要想達到欺騙作者的目的,就要想方設法把作者引向釣魚網站。為了掩人耳目,最常用的技術手段就是用IP地址直接訪問,而不用域名。普通作者很少去核實IP地址的具體消息,這就給了釣魚者可乘之機。比如,釣魚者可以先做好一個假冒網站,然后將61.150.47.X這個地址和冒充期刊的信息出去,讓作者以為此IP地址就是想要訪問期刊的真實地址,從而引誘作者通過此IP地址訪問釣魚網站。2.1.5欺騙性超鏈接超鏈接是超級鏈接的簡稱,根據使用對象可劃分為文本超鏈接、圖像超鏈接、E-mail鏈接、錨點鏈接、多媒體文件鏈接、空鏈接等,超鏈接的標題可獨立于它指向的URL[9]。釣魚者利用超鏈接的這個特性,構建欺騙性超鏈接來迷惑作者。
2.2利用漏洞攻擊科技期刊官方網站
漏洞也稱為脆弱性(Vulnerability),是硬件、軟件和協議的具體實現或系統安全策略上存在的缺陷[10]。黑客或釣魚者往往利用Web漏洞、瀏覽器漏洞和服務器漏洞對科技期刊官方網站發起攻擊,對期刊主頁和投稿信息進行篡改,從而達到欺騙作者的目的。2.2.1Web漏洞Web漏洞通常是指網站程序上的漏洞,目前最常見的Web漏洞有結構化查詢語言(StructuredQueryLanguage,SQL)注入、跨站腳本攻擊(CrossSiteScripting,XSS)、跨目錄訪問、緩沖區溢出、cookies修改、HTTP方法篡改、跨站請求偽造(Cross-SiteRequestForgery,CSRF)、回車換行(Carriage-ReturnLine-Feed,CRLF)注入等。根據安全研究組織開放式Web應用程序安全項目(OpenWebApplicationSecurityProject,OWASP)的統計,XSS漏洞和注入漏洞(InjectionFlaws)(SQL注入漏洞中最主要的一種)的數量高居榜首。XSS漏洞的特性就是能夠在遠程Web網頁中插入惡意目的網絡腳本語言(JavaScript),達到跨域名、跨頁面修改網頁任意內容的目的[11]。當用戶使用瀏覽器下載這一頁面時,嵌在其中的惡意腳本就被執行。InjectionFlaws是通過把SQL命令插入到Web表單提交、輸入域名和頁面請求的查詢字符串中,最終實現欺騙服務器執行惡意的SQL命令[12]。釣魚者往往利用這兩種技術手段,先修改某些科技期刊服務器的數據庫或官方網站內容,然后通過官方網站郵箱或官方網站投稿系統給作者發送虛假錄用信息,引誘作者向虛假賬號匯款,以牟取非法利益。2.2.2瀏覽器漏洞目前,常用的Web瀏覽器有微軟公司的InternetExplorer瀏覽器、網景公司的NetscapeNavigator瀏覽器、開放源代碼的網頁瀏覽器Firefox、OperaSoftwareASA公司的瀏覽器Opera、Sun公司推出的HotJava瀏覽器等。根據“常見漏洞及風險”(CommonVulnerabilities&Exposures,CVE)組織的公報,瀏覽器的總漏洞超過300個,每個瀏覽器廠商的產品都有幾十個漏洞[13],幾乎所有的瀏覽器都存在漏洞。釣魚者或黑客利用瀏覽器漏洞,生成一個科技期刊釣魚網頁,作者有意或無意訪問該網頁時,特洛伊木馬或者其他類型的間諜軟件會在作者毫無察覺的情況下安裝在作者的電腦中,以竊取作者信息[14]。目前,對瀏覽器構成潛在威脅的因素主要有瀏覽器劫持(BrowserHijack)、惡意腳本、非法ActiveX控件、惡意Java小程序等。以瀏覽器劫持為例,其通過BHO、DLL插件、Hook技術、WinsockLSP等載體[8]對作者的瀏覽器進行攻擊,進而直接控制作者瀏覽器,或者使作者瀏覽器強行訪問某個釣魚網站,危及作者瀏覽器安全。2.2.3服務器漏洞服務器最常見的漏洞是郵件身份偽造漏洞,此漏洞只需修改郵件發送的“From”頭區域字段,就可以利用匿名郵件偽造任何人的身份發送郵件。釣魚者經常利用此漏洞冒充期刊電子郵件給作者發送匿名郵件,甚至架設專門制作偽造郵件的網站,不間斷地給作者發送各種匿名郵件。雖然大部分郵件服務商對這類匿名郵件提供的反欺詐保護和郵件過濾手段均能檢測到“From”區域的偽造內容,但這些檢測手段也并不安全,大量惡意軟件、釣魚鏈接和勒索病毒利用電子郵件進行傳播擴散[15]。2017年12月,德國安全研究員SabriHaddouche發現30多種郵件客戶端中存在漏洞,可以讓任意用戶偽造身份發送欺詐郵件并繞過反欺詐保護機制(如DMARC等)和多種垃圾郵件過濾器,SabriHaddouche把這些郵件客戶端漏洞集統稱為MailSploit,目前它主要影響AppleMail(macOS、iOS和watchOS)、MozillaThunderbird、部分Microsoft客戶端、YahooMail、ProtonMail等。
3具體防范措施
科技期刊釣魚網站猖獗,擾亂了科研學術風氣,損害了期刊和作者利益。因此,打擊科技期刊釣魚網站勢在必行。筆者認為,科技期刊、作者、政府相關部門、互聯網企業等多方共同采取防范措施,以遏制科技期刊釣魚網站的不法行為。
3.1科技期刊應加強網絡安全建設
作者之所以會誤入科技期刊釣魚網站,一個重要的原因是不容易找到期刊官方網站。科技期刊作為釣魚網站侵害的主體,應主動作為,利用自己的資源,采取多種途徑提高官方網站網址、郵箱和編輯部電話的可見度。如汪勤儉等[2]建議,科技期刊可在每篇論文中標注網址、在中國知網等數據庫期刊信息中標注期刊網址,加大宣傳力度,擴大期刊及其網站的知名度;在期刊官方網站的顯著位置刊登反釣魚網站聲明等;還可以利用微信平臺擴大網站網址可見度。另外,對于那些尚未建立官方網站的科技期刊,應盡快建立自己的官方網站,不要讓假冒期刊的釣魚網站再危害作者,損壞期刊和作者的合法權益。科技期刊應動員作者、讀者和編輯積極參與釣魚網站的打擊活動,一旦發現有假冒自己期刊的釣魚網站應立刻向中國互聯網違法和不良信息舉報中心、網絡違法犯罪舉報網站、中國反釣魚網站聯盟等機構舉報,切實維護自身合法權益。指出,網絡安全是事業發展的前提。科技期刊編輯部應充分重視科技期刊網絡安全,在投稿平臺選擇或建設時應將系統安全作為第一選擇因素。科技期刊編輯部應安排有網絡安全知識的編輯或聘請相關的網絡安全工程師定期對投稿平臺進行維護,以保障投稿平臺安全;應定期對編輯開展網絡安全培訓,培養編輯的網絡安全意識,筑牢網絡安全防線,從根本上抵御釣魚攻擊。科技期刊編輯部還可以向搜索引擎運營商申請官方網站認證,以便作者查詢。
3.2作者應增強安全防范意識
作者通過網絡進行投稿時,應增強安全防范意識。首先,應確保自己使用計算機的安全,在計算機上一定要安裝防火墻和殺毒軟件,并實時更新,啟用防火墻的自動攔截功能,自動過濾網絡釣魚網站;設置系統登錄口令,盡可能使用復雜密碼;及時更新系統補丁和應用程序,并留意網絡中的陷阱。其次,應保證自己電子郵箱的安全性,避免在網吧、游戲廳等安全性不確定的計算機中登錄自己的電子郵箱;不要隨意點擊瀏覽器中的陌生鏈接,關閉電子郵件客戶端的自動腳本功能。再次,作者要養成良好的投稿習慣,當首次向自己不熟悉的期刊投稿時,一定要采用多種途徑核實通過搜索引擎獲得的投稿網站、郵箱的真實性。最后,作者應該明白,大多數正規科技期刊的審稿周期為1~2月,且收款賬戶名多是單位名稱,若投稿后3~5天就收到要求向私人賬戶匯版面費的“錄用通知”,則應對該“錄用通知”的真實性進行核查,切不可被突如其來的“好事”所蒙蔽而上當受騙。
3.3政府相關部門應齊抓共管
目前,科技期刊釣魚網站泛濫跟監管部門監控不嚴有很大關系。筆者認為,應加大監管力度,制定嚴格的法規,從嚴處理釣魚者的犯罪行為,發動作者、期刊編輯和科技期刊網站承包企業監督舉報,共同保障互聯網的網絡空間安全。監管部門應依靠先進的信息技術對科技期刊官方網站進行科學監管。例如,張義等[3]提出在.cn域名下設置新聞出版廣電領域統一的二級域名,即在國家頂級域名下設置出版傳媒領域專屬的二級類別域名,以方便作者鑒別。教育部和科技部可聯合建立專門的科技期刊查詢網站,并將其大力宣傳、推廣到各科教單位和研究生培養單位,為作者提供一個獲取科技期刊正確信息的官方平臺。
3.4互聯網企業應切實擔當起自己應盡的社會責任
2016年4月9日,在《在網絡安全和信息化工作座談會上的講話》中明確指出,互聯網企業不應只以賺錢為目的,還應承擔相應的社會責任,堅持經濟效益和社會效益的統一;互聯網企業應積極參與網絡釣魚網站的防范,鼓勵反網絡釣魚技術的研發與成果轉換,并進行技術推廣。目前,國內許多學者針對釣魚網站監測和識別技術進行了研究,并取得了一定成果。釣魚網站檢測技術主要有改進的TrustRank算法[16]、特征選擇與集成學習[17]、模糊關聯分類[18]、敏感特征[19]、基于貝葉斯[20]和支持向量機啟發式[21]、深度學習[22]等。釣魚網站識別技術主要有基于URL文本特征及鏈接關系[23]、融合多源網絡評估數據及URL特征[24]等。互聯網企業應加大科技成果轉換與推廣力度,盡快將以上技術應用于實際,為凈化網絡空間貢獻自己的力量。科技期刊網站平臺承包商作為互聯網企業的一分子,在開發投稿平臺時,應盡量采用新技術,以減少投稿平臺漏洞;投稿平臺建立好后,平臺服務商應定期對其進行漏洞掃描,防患于未然。
4總結
打擊科技期刊釣魚網站刻不容緩,本研究先分析了科技期刊釣魚網站屢禁不止的原因,然后研究了其常用的技術手段,最后從科技期刊、作者、政府相關部門和互聯網企業的角度分別給出了具體防范策略。本研究僅對當前釣魚者常用的技術手段進行了分析,隨著信息技術的發展,釣魚者是否會利用其他技術手段進行犯罪活動值得跟蹤研究。比如,現在不少科技期刊建立了自己的作者QQ群、微信群和微信公眾號,釣魚者是否會通過攻擊這些即時通訊軟件而對作者進行詐騙,這應該引起高度關注。打擊科技過程中的釣魚犯罪行為任重而道遠,不可能一蹴而就,但筆者相信,只要科技期刊編輯部重視網絡安全并努力提升官方網站的可見度、作者提高防范意識、政府相關部門提高監管水平、互聯網企業加大防范技術投入,定會讓釣魚網站再無可乘之機。
作者:胡國強 楊彥榮 馬秋明 單位:西北農林科技大學網絡與教育技術中心 陜西省咸陽市楊凌區邰城路
