What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

هل QR الدفع للمتجر هذا آمن للدفع؟

الكود QR على طاولة المطعم أو مواقف السيارات أو عند الباعة الجائلين يُستخدم غالبًا تنسيق TLV من EMVCo. يحمل اسم المتجر، المدينة، الدولة، العملة، المبلغ الإضافي (اختياري)، وchecksum CRC-16 الذي يفشل إذا تم تعديل الحملة. هجوم تغليف الـ QR (الغطاء) هو أخطر أنواع الاحتيال QR عالميًا. مسح QR قبل الدفع يُظهر من الذي تدفع له بالضبط.

مسح QR للمتجر → جميع المعايير →

ما هو التنسيق

الهيكل القياسي هو EMVCo QR Code Specification، منشور من قبل نفس اتحاد EMVCo الذي عرف بطاقات الشريحة والرقم السري. اثنان من النماذج تشارك معظم التنسيق:

MPM (الوضع المعروض من قبل المتجر)، يعرض المتجر الكود QR، ويقوم المستهلك بمسحه والدفع. هذا هو ما تراه في المطاعم، والمقاهي، ومواقف السيارات.
CPM (الوضع المعروض من قبل المستهلك)، تظهر محفظتك الكود QR، ويقوم المتجر بمسحه. أقل شيوعًا؛ ويستخدم في بعض نقاط البيع المُستقلة وفي بوابات الدفع أثناء التنقل.

يُبنى تقريبًا كل نظام الدفع الفوري في العالم على تنسيق EMVCo MPM مع إضافة بعض الرموز الخاصة بالدولة:

Pix (البرازيل)، أكبر نظام في العالم من حيث عدد المعاملات
UPI (الهند)، أكبر نظام في العالم من حيث عدد المستخدمين
PromptPay (الไทย) · PayNow (سنغافورة) · DuitNow (ماليزيا) · QRIS (أندونيسيا)
Bizum (إسبانيا) · Swish (السويد) · BLIK (بولندا) · MB WAY (البرتغال)
Wero (الاتحاد الأوروبي متعدد الدول) وعشرات أخرى، 54 دولة في قاعدة بيانات تحليلنا

الهيكل هو نص Tag-Length-Value، بدون تشفير، ويمكن فك التشفير بواسطة أي ماسح QR. يُشفّر اسم المتجر بصراحة ويعرضه تطبيق محفظتك.

هيكل كود QR للدفع للمتجر

يبدأ كل حملة EMVCo بـ 000201 (مؤشر تنسيق الحملة). ما يلي هو تسلسل من سجلات TLV، حيث يتم تعيين رمز تشعبي بطول اثنين، ثم طول اثنين، ثم قيمة ذات طول محدد، وتكرار ذلك.

العلامة 01، نقطة البدء

11 = QR ثابت (قابل لإعادة الاستخدام، تُدخل المبلغ يدويًا).
12 = QR ديناميكي (واحدة فقط، المبلغ مُملوء مسبقًا بواسطة POS للمتجر).

العلامات 26-51، معلومات الحساب التجاري

مُعرِّف المستلم المحلي. مفتاح Pix (CPF / CNPJ / البريد الإلكتروني / الهاتف / UUID EVP)، عنوان الدفع الافتراضي UPI، هاتف PromptPay أو الهوية الوطنية، إلخ.

العلامة 52، كود فئة المERCHANT (MCC)

تصنيف من 4 أرقام وفقًا لـ ISO 18245. 5812 = مطعم، 5411 = متجر، 7011 = إقامة، 5541 = محطة وقود، إلخ.

العلامة 53، العملة

كود رقمي وفقًا لـ ISO 4217. 840 = USD، 978 = EUR، 826 = GBP، 986 = BRL (الريال البرازيلي)، 356 = INR (الروبي الهندي).

العلامة 54، المبلغ

اختياري. موجود في قوائم QR الديناميكية (أدخله البائع مسبقًا)، غير موجود في قوائم QR الثابتة (تُدخله بنفسك).

العلامات 55-57، чаو / رسوم الراحة

اختياري. 55 يشير إلى ما إذا كان يجب ظهور طلب чаو، بينما 56 / 57 يحتويان على رسوم مُسَمَّاة أو نسبة مئوية.

العلامة 58، الدولة

كود الدولة وفقًا لـ ISO 3166-1 alpha-2. مفيد عند دعم تطبيقات الدفع النقل عبر الحدود.

العلامة 59، اسم البائع

حتى 25 حرفًا. هذا هو المجال الذي يعرضه تطبيق محفظتك كـ "أنت تدفع ___". يسيطر البائع تمامًا على ما يظهر هنا. يضع أي سلسلة تريدها المهاجم الذي يصنع تغيير اللصق هنا.

العلامة 60، مدينة البائع

حتى 15 حرفًا. مكان وجود البائع.

العلامة 61، رمز البريد

اختياري لكنه مفيد للكشف عن الاحتيال: بائع أمريكي يتميز برمز بريدي لا يتطابق مع المدينة هو مؤشر.

العلامة 62، مجال بيانات إضافي

التحت-العلامة TLV. داخلها: رقم الفاتورة، رقم الهاتف، علامة المتجر، رقم الولاء، علامة المرجع، علامة العميل، علامة المكتب، هدف المعاملة.

الملabel 63، مجموع التحقق من صحة البيانات (CRC)

CRC-16/CCITT-FALSE على كل ما سبق (بما في ذلك عنوان "6304" للملف TLV CRC نفسه). إذا لم تتطابق، تم تعديل QR أو تلفه.

الاستبدال باللصق، احتيال QR العالمي رقم 1

تقنية بسيطة بشكل مُحبط:

يقوم الغشاش بطباعة QR يشير إلى حسابه الخاص.
يضع QR المطبوع على لصق (أو يطبخه مباشرة على ورق لاصق).
يمر الغشاش عبر سوق، منطقة مطاعم، أو منطقة مُعدات موقف السيارات، ويضع QR الاستبدال على QR الشرعي للمتجر.
يُدفع كل عميل يمسك QR للغشاش.

لا يلاحظ التاجر حتى يظهر في تسوية اليوم أن الإيرادات أقل من المتوقع. لا يلاحظ العميل لأنه يقول جيبه "لقد دفعت "، ويمكن للغشاش وضع اسم المتجر الحقيقي في العلامة 59. أو قريبًا منه ("جويز بيززا4"، "جويز بيتزا 2")، اختلافات بسيطة لا يلاحظها العميل المُتعب.

تم تسجيل الاحتيال في كل دولة تنتشر فيها الدفعات المحمولة: البرازيل (Pix لصق-استبدال في مُعدات موقف السيارات)، الهند (UPI لصق-استبدال في محطات البنزين)، الصين (WeChat Pay لصق-استبدال على النوافذ التجارية)، سنغافورة (PayNow في مراكز الباعة المتجول)، المملكة المتحدة (QR لصق-استبدال في صناديق التبرعات)، الولايات المتحدة (مُعدات موقف السيارات في أوستين، سان فرانسيسكو، لوس أنجلوس).

كيفية التحقق من كود QR للدفع قبل الدفع

ماذا تظهر لك مرشّتنا:

اسم البائع + المدينة + الدولة، هل هذا يطابق المتجر الذي تقف أمامه بشكل جسدي؟ اقرأ بعناية، فاحتيال استبدال الاصفاف غالبًا ما يستخدم مطابقات قريبة.
العملة + المبلغ، هل المبلغ في كود QR يطابق الفاتورة؟
الثابت مقابل الديناميكي، إذا كان ثابتًا، سيطلب محفظتك إدخال المبلغ. إذا كان ديناميكيًا، فإن المبلغ مُحدد.
فئة رمز المُصنّف (MCC)، هل رمز فئة البائع متوافق مع ما يبيعونه؟ كود QR للمطعم مع رمز فئة 7995 (القمار) مشبوه.
النظام الوطني، مثل Pix، UPI، PromptPay، إلخ. يتم التعرف عليه من ملصق الدولة.
نتيجة تحقق CRC، إذا كانت غير صحيحة، فقد تم تعديل كود QR أو تلفه. لا تدفع.
معلومات حساب المرسل إليه، مثل مفتاح Pix، VPA UPI، ID PromptPay، إلخ. الذي سيُرسل إليه المال. إذا دفعت هذا البائع سابقًا، هل هذا يطابق؟

علامات مادية يجب التحقق منها قبل التسجيل:

هل تلصيق QR ممزق في الزوايا؟ حديث وربما أضيفته خصم.
اللصق فوق لصق آخر؟ ممكن الاستبدال.
QR مطبوع على ورق رخيص مُلصَّق فوق QR مطبوع من العلامة التجارية للمتجر؟ يُحتمل أن يكون الاحتيال بالتأكيد.
QR مثبت في مكان لا يتحقق منه التاجر بانتظام (خلف متر موقف السيارات، خلف العداد)؟ مخاطر استبدال أعلى.

أنظمة محددة بالدولة التي نُحددها

يُتعرف مُحلِّلنا على رمز الدولة ويُحدِّد الحكم بالاسم المحلي للكيان عند تطبيقه. يغطي حاليًا 54 دولة بما في ذلك جميع أنظمة الدفع الفوري الرئيسية. راجع مُحور المعايير لمعرفة القائمة الكاملة مع التفاصيل لكل نظام.

المواد المرتبطة

扫码后再付款

ألصق الكود QR في ماسحنا. يظهر الحدث اسم المتجر، المدينة، الدولة، المبلغ، العملة، وتحديدًا ما إذا كان مجموع التحقق من صحة المبلغ صحيح. يستغرق عدة ثوانٍ. قد يوفر لك هذا تكلفة وجبة أو شهر من تكلفة مواقف السيارات.

فتح ماسح QR →