What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

এই মার্চেন্ট পেমেন্ট QR-এ পেমেন্ট করা কি নিরাপদ?

রেস্তোরাঁর টেবিলে, পার্কিং মিটারে বা বাজারের স্টলে QR প্রায় সবসময় EMVCo-এর TLV ফরম্যাটে চলে। এতে মার্চেন্ট নাম, শহর, দেশ, মুদ্রা, ঐচ্ছিক পরিমাণ এবং একটি CRC-16 চেকসাম থাকে যা পেলোড পরিবর্তিত হলে ব্যর্থ হয়। স্টিকার-সোয়াপ আক্রমণ — আসল মার্চেন্টের QR ঢেকে আক্রমণকারীর QR লাগানো — বিশ্বব্যাপী সবচেয়ে সাধারণ QR জালিয়াতি। পেমেন্টের আগে QR ডিকোড করলে আপনি আসলে কাকে পেমেন্ট করছেন তা দেখা যায়।

একটি মার্চেন্ট QR স্ক্যান করুন → সব স্ট্যান্ডার্ড →

ফরম্যাট কী

স্ট্যান্ডার্ড হলো EMVCo QR কোড স্পেসিফিকেশন, একই EMVCo কনসোর্টিয়াম দ্বারা প্রকাশিত যা চিপ-এন্ড-পিন কার্ড সংজ্ঞায়িত করেছে। দুটি ফ্লেভার বেশিরভাগ ফরম্যাট ভাগ করে:

MPM (Merchant-Presented Mode) — মার্চেন্ট QR দেখায়, আপনি স্ক্যান করে পেমেন্ট করেন। রেস্তোরাঁ, বাজারের স্টল এবং পার্কিং মিটারে যা দেখা যায়।
CPM (Consumer-Presented Mode) — আপনার ওয়ালেট QR দেখায়, মার্চেন্ট স্ক্যান করে। কম সাধারণ; কিছু স্টাফড চেকআউট এবং ট্রানজিট ফেয়ার গেটে ব্যবহৃত।

প্রায় প্রতিটি দেশের তাৎক্ষণিক-পেমেন্ট স্কিম কিছু দেশ-নির্দিষ্ট ট্যাগ সহ EMVCo MPM-এর উপর তৈরি:

Pix (ব্রাজিল), লেনদেনের পরিমাণে বিশ্বের বৃহত্তম
UPI (ভারত), ব্যবহারকারী সংখ্যায় বিশ্বের বৃহত্তম
PromptPay (থাইল্যান্ড) · PayNow (সিঙ্গাপুর) · DuitNow (মালয়েশিয়া) · QRIS (ইন্দোনেশিয়া)
Bizum (স্পেন) · Swish (সুইডেন) · BLIK (পোল্যান্ড) · MB WAY (পর্তুগাল)
Wero (EU বহু-দেশ) এবং আরো বেশ কিছু — আমাদের বিশ্লেষক ক্যাটালগে 54টি দেশ

ফরম্যাট হলো ট্যাগ-লেংথ-ভ্যালু টেক্সট, কোনো এনক্রিপশন নেই, যেকোনো QR স্ক্যানার ডিকোড করতে পারে। মার্চেন্ট পরিচয় প্লেইন টেক্সটে এনকোড করা এবং আপনার ওয়ালেট অ্যাপ তা দেখায়।

মার্চেন্ট পেমেন্ট QR-এর কাঠামো

প্রতিটি EMVCo পেলোড 000201 (Payload Format Indicator) দিয়ে শুরু হয়। এরপরে TLV রেকর্ডের ক্রম — দুই-অক্ষরের ট্যাগ, দুই-সংখ্যার দৈর্ঘ্য, সেই দৈর্ঘ্যের মান, বারবার।

ট্যাগ 01, Point of Initiation

11 = স্ট্যাটিক QR (পুনর্ব্যবহারযোগ্য, আপনি নিজে পরিমাণ লিখুন)।
12 = ডায়নামিক QR (একবার, মার্চেন্ট POS দ্বারা পরিমাণ পূর্ব-পূরণ)।

ট্যাগ 26-51, Merchant Account Info

দেশ-নির্দিষ্ট প্রাপক শনাক্তকারী। Pix কি (CPF/CNPJ/ইমেইল/ফোন/EVP UUID), UPI ভার্চুয়াল পেমেন্ট অ্যাড্রেস, PromptPay ফোন বা জাতীয় ID, ইত্যাদি।

ট্যাগ 52, Merchant Category Code (MCC)

ISO 18245 4-সংখ্যার ক্যাটাগরি। 5812 = রেস্তোরাঁ, 5411 = মুদিখানা, 7011 = আবাসন, 5541 = গ্যাস স্টেশন, ইত্যাদি।

ট্যাগ 53, মুদ্রা

ISO 4217 সংখ্যাসূচক কোড। 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (ব্রাজিলিয়ান রিয়াল), 356 = INR (ভারতীয় রুপি)।

ট্যাগ 54, পরিমাণ

ঐচ্ছিক। ডায়নামিক QR-এ উপস্থিত (মার্চেন্ট পূর্ব-পূরণ করেছে), স্ট্যাটিক QR-এ অনুপস্থিত (আপনি নিজে লিখুন)।

ট্যাগ 55-57, টিপ/সুবিধা ফি

ঐচ্ছিক। 55 নির্দেশ করে টিপ প্রম্পট দেখাবে কিনা; 56/57 স্থির-পরিমাণ বা শতাংশ সুবিধা ফি বহন করে।

ট্যাগ 58, দেশ

ISO 3166-1 alpha-2 দেশ কোড। পেমেন্ট অ্যাপ ক্রস-বর্ডার ট্রান্সফার সমর্থন করলে কার্যকর।

ট্যাগ 59, মার্চেন্ট নাম

সর্বোচ্চ 25 অক্ষর। এই ফিল্ডটিই আপনার ওয়ালেট অ্যাপ "আপনি ___ কে পেমেন্ট করছেন" হিসেবে দেখায়। মার্চেন্ট এখানে যা খুশি রাখতে পারে। স্টিকার-সোয়াপ আক্রমণকারী যে স্ট্রিং চায় তাই রাখে।

ট্যাগ 60, মার্চেন্ট শহর

সর্বোচ্চ 15 অক্ষর। মার্চেন্ট কোথায় অবস্থিত।

ট্যাগ 61, পোস্টাল কোড

ঐচ্ছিক তবে জালিয়াতি সনাক্তের জন্য দরকারী: পোস্টাল কোড শহরের সাথে না মিললে এটি একটি সংকেত।

ট্যাগ 62, অতিরিক্ত ডেটা ফিল্ড

সাব-TLV। ভেতরে: বিল নম্বর, মোবাইল নম্বর, স্টোর লেবেল, লয়্যালটি নম্বর, রেফারেন্স লেবেল, গ্রাহক লেবেল, টার্মিনাল লেবেল, লেনদেনের উদ্দেশ্য।

ট্যাগ 63, CRC চেকসাম

সব কিছুর উপরে CRC-16/CCITT-FALSE ("6304" হেডার সহ)। এটি না মিললে QR পরিবর্তিত বা দূষিত হয়েছে।

স্টিকার-সোয়াপ আক্রমণ, বৈশ্বিক QR জালিয়াতি নং 1

কৌশলটি হতাশাজনকভাবে সহজ:

আক্রমণকারী নিজের পেমেন্ট অ্যাকাউন্টে নির্দেশিত একটি QR প্রিন্ট করে।
তারা প্রিন্ট করা QR একটি স্টিকারে রাখে (বা সরাসরি আঠালো কাগজে প্রিন্ট করে)।
তারা একটি বাজার, রেস্তোরাঁ এলাকা বা পার্কিং-মিটার জোনে হাঁটে এবং আসল মার্চেন্ট QR-এর উপরে সোয়াপ-QR লাগায়।
স্ক্যান করা প্রতিটি গ্রাহক আক্রমণকারীকে পেমেন্ট করে।

মার্চেন্ট দিনের হিসাবে বুঝতে পারার আগে টের পায় না। গ্রাহক টের পায় না কারণ তাদের ওয়ালেট বলে "আপনি __ কে পেমেন্ট করেছেন", এবং আক্রমণকারী ট্যাগ 59-এ মার্চেন্টের আসল নাম রাখতে পারে। অথবা কাছাকাছি — সামান্য তারতম্য যা ব্যস্ত গ্রাহক ধরতে পারে না।

জালিয়াতি মোবাইল পেমেন্ট প্রচলিত প্রতিটি দেশে নথিভুক্ত: ব্রাজিল (Pix স্টিকার-সোয়াপ পার্কিং মিটারে), ভারত (UPI স্টিকার-সোয়াপ পেট্রোল পাম্পে), চীন (WeChat Pay স্টিকার-সোয়াপ দোকানের জানালায়), সিঙ্গাপুর (PayNow হকার সেন্টারে), UK (ডোনেশন-বক্স QR-সোয়াপ), মার্কিন (অস্টিন, সান ফ্রান্সিসকো, LA-তে পার্কিং মিটার)।

পেমেন্টের আগে পেমেন্ট QR কীভাবে যাচাই করবেন

আমাদের স্ক্যানার আপনাকে কী দেখায়:

মার্চেন্ট নাম + শহর + দেশ — আপনি শারীরিকভাবে যে স্টোরের সামনে দাঁড়িয়ে আছেন তার সাথে মিলছে? সাবধানে পড়ুন, স্টিকার-সোয়াপ জালিয়াতি প্রায়ই কাছাকাছি মিল ব্যবহার করে।
মুদ্রা + পরিমাণ — QR-এর পরিমাণ বিলের সাথে মিলছে?
স্ট্যাটিক বনাম ডায়নামিক — স্ট্যাটিক হলে আপনার ওয়ালেট পরিমাণ লিখতে বলবে। ডায়নামিক হলে পরিমাণ লক।
MCC ক্যাটাগরি — মার্চেন্ট ক্যাটাগরি কোড তারা যা বিক্রি করে তার সাথে সামঞ্জস্যপূর্ণ? MCC 7995 (জুয়া) সহ রেস্তোরাঁ QR সন্দেহজনক।
জাতীয় স্কিম — Pix, UPI, PromptPay, ইত্যাদি দেশের ট্যাগ থেকে শনাক্ত।
CRC যাচাইয়ের ফলাফল — অবৈধ হলে QR পরিবর্তিত বা দূষিত হয়েছে। পেমেন্ট করবেন না।
প্রাপক অ্যাকাউন্ট তথ্য — Pix কি, UPI VPA, PromptPay ID, ইত্যাদি যেখানে অর্থ যাবে। এই মার্চেন্টকে আগে পেমেন্ট করলে কি মিলছে?

স্ক্যান করার আগে পরীক্ষা করার শারীরিক সংকেত:

কোণে স্টিকার উঠে যাচ্ছে? সাম্প্রতিক এবং সম্ভবত আক্রমণকারীর দ্বারা লাগানো।
অন্য স্টিকারের উপরে স্টিকার লাগানো? সম্ভাব্য সোয়াপ।
মার্চেন্টের ব্র্যান্ডেড মুদ্রিত QR-এর উপরে টেপ করা সস্তা কাগজে মুদ্রিত QR? প্রায় নিশ্চিত জালিয়াতি।
এমন জায়গায় QR লাগানো যেখানে মার্চেন্ট প্রায়ই চেক করে না (পার্কিং মিটারের পেছনে, কাউন্টারের পেছনে)? বেশি সোয়াপ ঝুঁকি।

আমরা যে দেশ-নির্দিষ্ট স্কিম শনাক্ত করি

আমাদের বিশ্লেষক দেশের ট্যাগ শনাক্ত করে এবং যখন কোনো স্থানীয় স্কিম প্রযোজ্য হয় তখন ভার্ডিক্টে স্থানীয় স্কিমের নাম দিয়ে লেবেল করে। বর্তমানে সব প্রধান তাৎক্ষণিক-পেমেন্ট সিস্টেম সহ 54টি দেশ কভার করে। প্রতি-স্কিম বিবরণ সহ সম্পূর্ণ তালিকার জন্য স্ট্যান্ডার্ড হাব দেখুন।

পেমেন্টের আগে স্ক্যান করুন

QR আমাদের স্ক্যানারে ড্রপ করুন। ভার্ডিক্ট মার্চেন্ট, শহর, দেশ, পরিমাণ, মুদ্রা এবং CRC চেকসাম বৈধ কিনা দেখায়। কয়েক সেকেন্ড লাগে। রাতের খাবারের খরচ বা একটি মাসের পার্কিং বাজেট বাঁচাতে পারে।

স্ক্যানার খুলুন →