What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Er denne handlerbetalings-QR sikker at betale?

QR-koden på et restaurantbord, parkometer eller markedsstand kører næsten altid på EMVCo's TLV-format. Den indeholder handelsnavn, by, land, valuta, valgfrit beløb og en CRC-16-kontrolsum, der fejler, hvis payloaden er ændret. Klistermærkebytte-angrebet – at dække en rigtig handlers QR med angriberens QR – er verdens mest udbredte QR-svindel. At afkode QR-koden inden du betaler, viser dig, hvem du rent faktisk betaler.

Scan en handlerbetalings-QR → Alle standarder →

Hvad er formatet

Standarden er EMVCo QR Code Specification, udgivet af det samme EMVCo-konsortium, der definerede chip-og-pinkode-kort. To varianter deler det meste af formatet:

MPM (Merchant-Presented Mode) – handleren viser QR-koden, du scanner og betaler. Det er, hvad du ser på restauranter, markedsstande og parkometre.
CPM (Consumer-Presented Mode) – din pung viser QR-koden, handleren scanner den. Mindre almindelig; bruges ved nogle bemandede kasser og i transitbilletsystemer.

Næsten hvert lands øjeblikkelige betalingsskema er bygget oven på EMVCo MPM med et par landespecifikke tags lagt ovenpå:

Pix (Brasilien), verdens største på transaktionsvolumen
UPI (Indien), verdens største på brugerantal
PromptPay (Thailand) · PayNow (Singapore) · DuitNow (Malaysia) · QRIS (Indonesien)
Bizum (Spanien) · Swish (Sverige) · BLIK (Polen) · MB WAY (Portugal)
Wero (EU flerland) og adskillige dusin mere – 54 landes værd i vores analysatorkatalog

Formatet er Tag-Length-Value-tekst, ingen kryptering, afkodbar af enhver QR-scanner. Handleridentiteten er kodet i klartekst og er det, din pung-app viser.

Anatomien af en handlerbetalings-QR

Alle EMVCo-payloads starter med 000201 (Payload Format Indicator). Det følgende er en sekvens af TLV-poster: to-tegns tag, to-cifret længde, værdi af den pågældende længde, gentaget.

Tag 01, Initiationspunkt

11 = statisk QR (genanvendelig, du indtaster beløbet selv).
12 = dynamisk QR (engangsbrug, beløbet er preudfyldt af handlerens kassesystem).

Tags 26-51, Handlerkontoinfo

Landespecifik modtageridentifikator. Pix-nøgle (CPF / CNPJ / e-mail / telefon / EVP UUID), UPI Virtual Payment Address, PromptPay-telefon eller nationalt ID osv.

Tag 52, Handelskategorikode (MCC)

ISO 18245 4-cifret kategori. 5812 = restaurant, 5411 = dagligvare, 7011 = logi, 5541 = benzinstation osv.

Tag 53, Valuta

ISO 4217 numerisk kode. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (brasiliansk real), 356 = INR (indisk rupee).

Tag 54, Beløb

Valgfri. Til stede i dynamiske QR-koder (handleren har preudfyldt den), fraværende i statiske QR-koder (du indtaster den selv).

Tags 55-57, Drikkepenge / bekvemmelighedsgebyr

Valgfri. 55 angiver, om en drikkepenge-prompt skal vises; 56 / 57 bærer et fast beløb eller procentbaseret bekvemmelighedsgebyr.

Tag 58, Land

ISO 3166-1 alpha-2 landekode. Nyttig når betalingsapps understøtter grænseoverskridende overførsel.

Tag 59, Handelsnavn

Op til 25 tegn. Dette er det felt, din pung-app viser som "du betaler ___". Handleren kontrollerer fuldt ud, hvad der er her. En angriber, der opretter et klistermærkebytte, sætter den streng, de ønsker, her.

Tag 60, Handelsby

Op til 15 tegn. Hvor handleren er placeret.

Tag 61, Postnummer

Valgfri, men nyttig til svindeldetektering: en amerikansk handler, hvis postnummer ikke stemmer overens med byen, er et rødt flag.

Tag 62, Yderligere datafelt

Sub-TLV. Indeni: fakturanummer, mobilnummer, butiksetiket, loyalitetsnummer, referenceetiket, kundeetiket, terminaletiket, transaktionsformål.

Tag 63, CRC-kontrolsum

CRC-16/CCITT-FALSE over alt forudgående (inklusive "6304"-headeren for CRC-TLV'en selv). Hvis dette ikke stemmer, er QR-koden ændret eller beskadiget.

Klistermærkebytte-angrebet – global QR-svindel nr. 1

Teknikken er nedslående enkel:

Angriberen printer en QR-kode, der peger mod deres eget betalingskonto.
De sætter den printede QR på et klistermærke (eller printer direkte på klæbepapir).
De går igennem et marked, en restaurantgade eller en parkometerzoner og klistrer bytte-QR'en over den legitime handlers QR.
Enhver kunde, der scanner, betaler angriberen.

Handleren opdager det ikke, før dagens afstemning viser, at indtægterne er lave. Kunden opdager det ikke, fordi deres pung siger "du betalte", og angriberen kan sætte handlerens rigtige navn i tag 59. Eller tæt på ("Joe's Pizz4", "Joe's Pizzeria 2") – små variationer, som en travl kunde ikke bemærker.

Svindelen er dokumenteret i hvert land, hvor mobilbetalinger er udbredt: Brasilien (Pix klistermærkebytte ved parkometre), Indien (UPI klistermærkebytte ved benzinstationer), Kina (WeChat Pay klistermærkebytte på butiksruder), Singapore (PayNow ved hawkercentre), UK (donationsboks-QR-bytte), USA (parkometre i Austin, San Francisco, LA).

Sådan verificerer du en betalings-QR inden betaling

Hvad vores scanner viser dig:

Handelsnavn + by + land – stemmer dette med den forretning, du fysisk står foran? Læs det nøje; klistermærkebytte-svindel bruger ofte næsten-matchende navne.
Valuta + beløb – stemmer beløbet i QR-koden med regningen?
Statisk kontra dynamisk – hvis det er statisk, vil din pung bede dig om at indtaste beløbet. Hvis det er dynamisk, er beløbet låst.
MCC-kategori – er handelskategorikoden konsistent med, hvad de sælger? En restaurant-QR med MCC 7995 (gambling) er mistænkelig.
Nationalt skema – Pix, UPI, PromptPay osv. genkendt fra landestaget.
CRC-valideringsresultat – hvis ugyldigt, er QR-koden ændret eller beskadiget. Betal ikke.
Modtagerkontoinfo – Pix-nøglen, UPI VPA, PromptPay-ID osv., som pengene vil blive dirigeret til. Hvis du har betalt denne handler før, stemmer det overens?

Fysiske tegn at inspicere inden scanning:

Klistermærket skrælner i hjørnerne? Nyligt tilsat og muligvis lagt af en angriber.
Klistermærket lagt OVER et andet klistermærke? Muligt bytte.
QR-koden printet på billigt papir tape-t over handlerens brandede QR? Næsten sikkert svindel.
QR-koden posted et sted, hvor handleren måske ikke tjekker ofte (bagsiden af et parkometer, bag en disk)? Højere bytterisiko.

Landespecifikke skemaer vi identificerer

Vores analysator genkender landestaget og mærker resultatet med det lokale skemanavn, når et er relevant. Dækker i øjeblikket 54 lande, herunder alle de store øjeblikkelige betalingssystemer. Se standardshubben for den fulde liste med detaljer pr. skema.

Relateret

Scan inden du betaler

Slip QR-koden i vores scanner. Resultatet viser handler, by, land, beløb, valuta og om CRC-kontrolsummen er gyldig. Det tager et par sekunder. Det kan spare dig for prisen på en middag eller et helt måneds parkeringsbudget.

Åbn scanner →