Fałszywe domeny „OKX”: jak odróżnić prawdziwą giełdę od phishingu
Im większa marka, tym chętniej podszywają się pod nią oszuści. Sezon na to jest właśnie teraz: po medialnych doniesieniach o ograniczeniach Binance w UE część użytkowników przenosi środki na licencjonowane giełdy, a każda fala przenosin to wymarzone tło dla kampanii phishingowych: fałszywych „migracji po MiCA”, podrobionych stron logowania i telefonów od rzekomego supportu. Konkretnych fałszywych adresów tu nie znajdziesz — takie listy dezaktualizują się w dni. Opisujemy schematy, które pozostają te same od lat.
Domena: pierwsza linia obrony
Oficjalna domena giełdy to okx.com. W adresie strony liczy się to, co stoi bezpośrednio przed końcówką: jeżeli tuż przed pierwszym ukośnikiem nie widzisz dokładnie „okx.com”, nie jesteś na stronie giełdy — niezależnie od tego, jak strona wygląda.
Typowe zagrywki fałszerzy (schematy, nie konkretne adresy):
- Literówka w nazwie — przestawione, podwojone albo brakujące litery; cyfra podobna do litery (klasyka: zero zamiast „o”).
- Dopisane słowa — do nazwy giełdy dokleja się „bonus”, „promo”, „pl”, „app”, „login” albo „mica”, z myślnikiem lub bez.
- Inna końcówka — ta sama nazwa, ale z końcówką .net, .top, .app, .xyz i podobnymi.
- Poddomena-przynęta — nazwa giełdy pojawia się na początku adresu, ale prawdziwą domeną jest to, co stoi przed końcówką. Wszystko po lewej może być dowolnym wabikiem.
- Homoglify — znaki z innych alfabetów wyglądające identycznie jak łacińskie. Takiej podmiany często nie widać gołym okiem. Dlatego ręczne wpisanie adresu jest pewniejsze niż jego oglądanie.
Kłódka i HTTPS — co naprawdę oznaczają
Kłódka przy adresie potwierdza tylko tyle, że połączenie jest szyfrowane. Nie to, że strona jest autentyczna. Certyfikaty TLS są darmowe i wystawiane automatycznie, więc strony phishingowe też je mają. Po kliknięciu w kłódkę możesz sprawdzić, dla jakiej domeny certyfikat wystawiono, ale traktuj to jako uzupełnienie weryfikacji adresu, nie jej zamiennik. Brak kłódki to jednoznaczny sygnał, by odejść; jej obecność sama w sobie nie dowodzi niczego.
Jak wchodzić na prawdziwą stronę
- Adres wpisuj ręcznie albo korzystaj z własnej, wcześniej zapisanej zakładki. To nawyk, który eliminuje większość opisanych wyżej zagrywek naraz.
- Nie loguj się z linków w mailach, SMS-ach i wiadomościach na komunikatorach, choćby wyglądały najbardziej oficjalnie. Prawdziwe komunikaty giełdy i tak zobaczysz po zalogowaniu na konto.
- Uważaj na wyniki sponsorowane w wyszukiwarce: oszuści wykupują reklamy, które wyświetlają się nad wynikami organicznymi. Sprawdzaj adres docelowy, nie treść reklamy.
- Aplikację mobilną pobieraj wyłącznie z oficjalnego sklepu z aplikacjami i sprawdź wydawcę przed instalacją.
- W razie wątpliwości co do maila, profilu w mediach społecznościowych czy adresu strony — zweryfikuj go w centrum pomocy dostępnym z ręcznie wpisanego okx.com; giełda publikuje tam sposoby potwierdzania oficjalnych kanałów (układ strony może się nieznacznie różnić).
Fałszywy support i „odzyskiwanie środków”
Drugi filar tych oszustw to nie strony, lecz ludzie. Schematy do rozpoznania:
- Support, który pisze pierwszy. Prawdziwa obsługa giełdy nie zaczepia użytkowników na Telegramie, WhatsAppie ani w prywatnych wiadomościach na X. Kontakt „z inicjatywy supportu” na komunikatorze to niemal zawsze oszustwo.
- Presja czasu. Telefon lub wiadomość o „zablokowanym koncie”, „podejrzanej transakcji” albo „obowiązkowej migracji po MiCA”, którą trzeba załatwić natychmiast. Pośpiech jest narzędziem — ma wyłączyć myślenie.
- Prośba o rzeczy, o które nikt uczciwy nie prosi: hasło, kody 2FA, fraza seed, klucze API, instalacja programu do zdalnego pulpitu. Prawdziwemu supportowi żadna z nich nie jest do niczego potrzebna.
- „Konto techniczne”. Weryfikacja tożsamości czy „odblokowanie środków” przez przelew na wskazane konto to czysty schemat wyłudzenia — giełdy nie prowadzą takich procedur.
- „Odzyskiwacze” środków. Po pierwszej stracie zgłasza się „kancelaria” albo „specjalista od odzyskiwania krypto”, który za zaliczkę obiecuje zwrot pieniędzy. To zwykle drugi etap tego samego oszustwa, wymierzony w osoby już poszkodowane.
Fałszywe airdropy i „podwajanie”
- „Wyślij, a odeślemy podwójnie” — transmisje wideo i posty z podszywającymi się kontami znanych marek lub osób. Nikt nie odsyła podwojonych środków; ten schemat jest starszy niż samo krypto.
- Strona „odbioru airdropu” prosząca o podłączenie portfela i podpisanie transakcji, której nie rozumiesz. Podpis może oznaczać zgodę na nieograniczony dostęp do twoich tokenów — czytaj, co podpisujesz, i odrzucaj to, czego nie umiesz zweryfikować.
- „Opłata aktywacyjna” — prawdziwy airdrop nie wymaga wpłaty z góry. Żądanie opłaty za odbiór „darmowych” tokenów to schemat zaliczkowy.
- Prośba o frazę seed — koniec rozmowy. Fraza seed nie jest potrzebna do żadnego airdropu, nigdy i nigdzie.
Szybka checklista przed zalogowaniem
- Adres wpisany ręcznie albo z własnej zakładki — nie z linku?
- Bezpośrednio przed końcówką stoi dokładnie „okx.com”?
- Nie działasz pod presją czasu wywołaną czyjąś wiadomością?
- Masz włączone 2FA? (Jak je ustawić — w przewodniku o zabezpieczeniu konta.)
- Przy pierwszym transferze na nowy adres — wysyłasz najpierw małą kwotę testową?
Kliknąłem. Co teraz?
Jeśli podejrzewasz, że strona była fałszywa — zwłaszcza gdy wpisano na niej hasło lub kody:
- Z czystego urządzenia (nie z tego, na którym klikano podejrzany link) zmień hasło do konta giełdowego i do skrzynki e-mail przypisanej do konta.
- Unieważnij klucze API i aktywne sesje, sprawdź listę adresów do wypłat — instrukcje znajdziesz w przewodniku o zabezpieczeniu konta.
- Skontaktuj się z obsługą giełdy wyłącznie przez ręcznie wpisane okx.com.
- Zgłoś stronę do CERT Polska przez formularz na incydent.cert.pl; podejrzany SMS możesz przekazać bezpłatnie na numer 8080.
- Jeżeli doszło do utraty środków — zgłoś sprawę policji i zabezpiecz dowody: adresy stron, zrzuty ekranu, identyfikatory transakcji.
W tym samym, niekomercyjnym dziale opisujemy też, jak działa lista ostrzeżeń publicznych KNF i kiedy ma sens self-custody.
Najczęstsze pytania
Dostałem maila o „pilnej migracji konta po MiCA”. Co robić?
Nie klikać. Wejdź na giełdę ręcznie wpisanym adresem i sprawdź, czy po zalogowaniu widzisz taki komunikat na koncie. Prawdziwe zmiany regulacyjne nie wymagają działania „w ciągu godziny” — presja czasu to cecha oszustwa, nie nadzoru.
Strona ma kłódkę i wygląda identycznie jak OKX. To wystarczy?
Nie. Wygląd strony można skopiować w całości, a certyfikat TLS ma dziś każda strona phishingowa. Jedyne, czego nie da się podrobić, to sama domena — dlatego weryfikacja zaczyna i kończy się na adresie.
Napisał do mnie „pracownik OKX” na Telegramie i chce pomóc z kontem. Czy to możliwe?
Nie. Obsługa giełdy nie inicjuje kontaktu na komunikatorach. Zakończ rozmowę i zgłoś konto jako podszywające się.
Treść informacyjna — nie stanowi porady inwestycyjnej.