What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Ist dieser Händler-Zahlungs-QR sicher zum Bezahlen?

Der QR auf einem Restauranttisch, einer Parkuhr oder einem Marktstand läuft fast immer auf EMVCos TLV-Format. Er enthält Händlername, Stadt, Land, Währung, optionalen Betrag und eine CRC-16-Prüfsumme, die fehlschlägt, wenn der Payload verändert wurde. Der Sticker-Swap-Angriff – das Überkleben eines echten Händler-QR mit dem QR des Angreifers – ist der weltweit häufigste QR-Betrug. Den QR vor dem Bezahlen zu dekodieren zeigt Ihnen, an wen Sie tatsächlich zahlen.

Händler-QR scannen → Alle Standards →

Was ist das Format

Der Standard ist die EMVCo QR Code Specification, veröffentlicht von demselben EMVCo-Konsortium, das Chip-und-PIN-Karten definiert hat. Zwei Varianten teilen den Großteil des Formats:

MPM (Merchant-Presented Mode): Der Händler zeigt den QR an, Sie scannen und zahlen. Das ist es, was Sie in Restaurants, auf Marktständen und an Parkuhren sehen.
CPM (Consumer-Presented Mode): Ihre Wallet zeigt den QR an, der Händler scannt. Weniger verbreitet; verwendet an einigen bedienten Kassen und in Transit-Fahrgeldtoren.

Fast jedes nationale Sofortzahlungsschema basiert auf EMVCo MPM mit einigen länderspezifischen Tags:

Pix (Brasilien), weltweit führend nach Transaktionsvolumen
UPI (Indien), weltweit führend nach Nutzerzahl
PromptPay (Thailand) · PayNow (Singapur) · DuitNow (Malaysia) · QRIS (Indonesien)
Bizum (Spanien) · Swish (Schweden) · BLIK (Polen) · MB WAY (Portugal)
Wero (EU, mehrere Länder) und mehrere Dutzend weitere – 54 Länder in unserem Analyzer-Katalog

Das Format ist Tag-Length-Value-Text, keine Verschlüsselung, dekodierbar von jedem QR-Scanner. Die Händleridentität ist im Klartext kodiert und wird von Ihrer Wallet-App angezeigt.

Aufbau eines Händler-Zahlungs-QR

Jeder EMVCo-Payload beginnt mit 000201 (Payload Format Indicator). Es folgt eine Sequenz von TLV-Einträgen: zweistelliges Tag, zweistellige Länge, Wert dieser Länge – beliebig oft wiederholt.

Tag 01, Initiierungspunkt

11 = statischer QR (wiederverwendbar, Sie tragen den Betrag selbst ein).
12 = dynamischer QR (Einmalbetrag, vom Händler-POS vorausgefüllt).

Tags 26–51, Händlerkonto-Info

Länderspezifischer Empfängeridentifikator. Pix-Schlüssel (CPF / CNPJ / E-Mail / Telefon / EVP-UUID), UPI Virtual Payment Address, PromptPay-Telefon oder nationale ID usw.

Tag 52, Händlerkategoriecode (MCC)

ISO-18245-4-stellige Kategorie. 5812 = Restaurant, 5411 = Lebensmittel, 7011 = Unterkunft, 5541 = Tankstelle usw.

Tag 53, Währung

ISO-4217-Zahlencode. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (Brasilianischer Real), 356 = INR (Indische Rupie).

Tag 54, Betrag

Optional. In dynamischen QRs vorhanden (vom Händler vorausgefüllt), in statischen QRs nicht (Sie geben ihn selbst ein).

Tags 55–57, Trinkgeld / Servicegebühr

Optional. 55 gibt an, ob ein Trinkgeld-Prompt erscheinen soll; 56 / 57 tragen einen Festbetrag oder eine prozentuale Servicegebühr.

Tag 58, Land

ISO-3166-1-Alpha-2-Ländercode. Nützlich, wenn Zahlungs-Apps grenzüberschreitende Überweisungen unterstützen.

Tag 59, Händlername

Bis zu 25 Zeichen. Dieses Feld zeigt Ihre Wallet-App als "Sie zahlen an ___" an. Der Händler kontrolliert vollständig, was hier steht. Ein Angreifer, der einen Sticker-Swap erstellt, kann hier beliebigen Text eintragen.

Tag 60, Händlerstadt

Bis zu 15 Zeichen. Standort des Händlers.

Tag 61, Postleitzahl

Optional, aber nützlich für die Betrugserkennung: Ein US-Händler, dessen Postleitzahl nicht zur Stadt passt, ist ein Warnsignal.

Tag 62, Zusatzdatenfeld

Sub-TLV. Enthält: Rechnungsnummer, Mobilnummer, Filial-Label, Treueprogramm-Nummer, Referenz-Label, Kunden-Label, Terminal-Label, Transaktionszweck.

Tag 63, CRC-Prüfsumme

CRC-16/CCITT-FALSE über alles Vorangehende (einschließlich des "6304"-Headers des CRC-TLV selbst). Stimmt dies nicht, wurde der QR verändert oder ist beschädigt.

Der Sticker-Swap-Angriff – globaler QR-Betrug Nr. 1

Die Technik ist erschreckend einfach:

Der Angreifer druckt einen QR, der auf sein eigenes Zahlungskonto verweist.
Er klebt den gedruckten QR auf einen Aufkleber (oder druckt ihn direkt auf Selbstklebeband).
Er geht durch einen Markt, ein Restaurantviertel oder eine Zone mit Parkuhren und klebt den Swap-QR über den legitimen Händler-QR.
Jeder Kunde, der scannt, zahlt an den Angreifer.

Der Händler bemerkt es erst, wenn die Tagesabrechnung zeigt, dass Einnahmen fehlen. Der Kunde bemerkt es nicht, weil seine Wallet "Sie haben bezahlt an ___" anzeigt – und der Angreifer kann den echten Händlernamen in Tag 59 eintragen. Oder etwas Ähnliches ("Joes Pizz4", "Joes Pizzeria 2") – kleine Abweichungen, die ein beschäftigter Kunde nicht bemerkt.

Der Betrug ist in jedem Land dokumentiert, in dem mobile Zahlungen verbreitet sind: Brasilien (Pix-Sticker-Swap an Parkuhren), Indien (UPI-Sticker-Swap an Tankstellen), China (WeChat-Pay-Sticker-Swap auf Schaufenstern), Singapur (PayNow an Hawker-Centres), UK (Spendenbox-QR-Swap), USA (Parkuhren in Austin, San Francisco, LA).

So prüfen Sie einen Zahlungs-QR vor dem Bezahlen

Was unser Scanner Ihnen zeigt:

Händlername + Stadt + Land: Stimmt das mit dem Geschäft überein, vor dem Sie stehen? Lesen Sie sorgfältig – Sticker-Swap-Betrug verwendet oft ähnlich klingende Namen.
Währung + Betrag: Stimmt der Betrag im QR mit der Rechnung überein?
Statisch vs. dynamisch: Bei statischem QR fragt Ihre Wallet nach dem Betrag. Bei dynamischem QR ist er bereits festgelegt.
MCC-Kategorie: Passt der Merchant Category Code zum Angebot des Händlers? Ein Restaurant-QR mit MCC 7995 (Glücksspiel) ist verdächtig.
Nationales Schema: Pix, UPI, PromptPay usw. werden anhand des Länder-Tags erkannt.
CRC-Validierungsergebnis: Bei ungültiger CRC wurde der QR verändert oder ist beschädigt. Nicht bezahlen.
Empfängerkontodaten: Pix-Schlüssel, UPI-VPA, PromptPay-ID usw., an die das Geld weitergeleitet wird. Wenn Sie bei diesem Händler schon bezahlt haben – stimmt es überein?

Physische Anzeichen, die Sie vor dem Scannen prüfen sollten:

Aufkleber an den Ecken abgelöst? Möglicherweise kürzlich angebracht – potenziell von einem Angreifer.
Aufkleber über einem anderen Aufkleber? Möglicher Swap.
QR auf billigem Papier, das über den gedruckten QR des Händlers geklebt ist? Fast sicher Betrug.
QR an einem Ort, den der Händler möglicherweise selten prüft (Rückseite einer Parkuhr, hinter einem Tresen)? Höheres Swap-Risiko.

Länderspezifische Schemata, die wir identifizieren

Unser Analyzer erkennt das Länder-Tag und beschriftet das Ergebnis mit dem lokalen Schemanamen, wenn eines zutrifft. Derzeit werden 54 Länder abgedeckt, einschließlich aller wichtigen Sofortzahlungssysteme. Auf dem Standards-Hub finden Sie die vollständige Liste mit Detailangaben zu jedem Schema.

Vor dem Bezahlen scannen

Ziehen Sie den QR in unseren Scanner. Das Ergebnis zeigt Händler, Stadt, Land, Betrag, Währung und ob die CRC-Prüfsumme gültig ist. Dauert ein paar Sekunden. Könnte Sie den Preis eines Abendessens oder eines ganzen Monatsbudgets für Parktickets ersparen.

Scanner öffnen →