What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Onko tämä kauppiasmaksu-QR turvallinen maksaa?

Ravintolassa, parkkimittarilla tai markkinakojulla oleva QR-koodi toimii lähes aina EMVCon TLV-muodolla. Se sisältää kauppiaan maksutilitiedot, valuutan ja summan. Näin tiedät, onko QR-koodi turvallinen maksaa.

Skannaa kauppias-QR → Kaikki standardit →

Mikä on muoto

Standardi on EMVCo QR Code Specification, julkaistu EMV Co LLC:n toimesta, jonka omistavat Visa, Mastercard, Amex ja Discover.

MPM (Merchant-Presented Mode), kauppias näyttää QR-koodin, sinä skannaat ja maksat. Tätä tämä sivu dokumentoi.
CPM (Consumer-Presented Mode), lompakkosi näyttää QR-koodin, kauppias skannaa sen. Käytetään joukkoliikenteessä ja tietyillä markkinoilla.

Lähes jokaisen maan pikamaksujärjestelmä on rakennettu EMVCo MPM:n päälle maakohtaisella tagi-26-nimiavaruus-GUID:lla.

Pix (Brasilia), suurin transaktiovolyymiltaan
UPI (Intia), suurin käyttäjämäärältään
PromptPay (Thaimaa) · PayNow (Singapore) · DuitNow (Malesia) · QRIS (Indonesia)
Bizum (Espanja) · Swish (Ruotsi) · BLIK (Puola) · MB WAY (Portugali)
Wero (monikansallinen EU) ja kymmeniä muita, 54 maan maksujärjestelmät

Muoto on Tag-Length-Value-teksti, ei salausta, minkä tahansa QR-skannerin dekoodattavissa.

Kauppiaan esittämän maksu-QR:n anatomia

Jokainen EMVCo-hyötykuorma alkaa 000201 (hyötykuormaformaatti-indikaattori). TLV-tagit ovat kaksinumeroisia ASCII-desimaaleja; sisemmät tagit (esim. 26 = kauppiaan tilin tiedot) sisältävät omat TLV-kolmikkonsa.

Tagi 01, Aloitusmenetelmäpiste

11 = staattinen QR (uudelleenkäytettävä, syötät summan itse).
12 = dynaaminen QR (summa sisäänrakennettu, luodaan per transaktio).

Tagit 26–51, Kauppiaan tilin tiedot

Maakohtainen vastaanottajatunniste. Pix-avain (CPF / CNPJ / sähköposti / puhelin / EVP UUID) Brasilialle; UPI VPA Intialle; PromptPay-ID Thaimaalle.

Tagi 52, Kauppiaanluokkakoodi (MCC)

ISO 18245 4-numeroinen kategoria. 5812 = ravintola, 5411 = päivittäistavarakauppa, 7011 = majoitus, 5541 = huoltoasema, 4121 = taksi.

Tagi 53, Valuutta

ISO 4217 numeerinen koodi. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (Brasilian real), 356 = INR (Intian rupia).

Tagi 54, Summa

Valinnainen. Läsnä dynaamisissa QR-koodeissa (kauppias on täyttänyt sen etukäteen), puuttuu staattisista (syötät summan itse).

Tagit 55–57, Tippiä / palvelumaksu

Valinnainen. 55 ilmaisee, näytetäänkö tippikehote; 56/57 kantavat kiinteän summan tai prosenttiosuuden palvelumaksun.

Tagi 58, Maa

ISO 3166-1 alfa-2 maakoodi. Hyödyllinen, kun maksuapps tukevat rajat ylittäviä siirtoja.

Tagi 59, Kauppiaannimi

Enintään 25 merkkiä. Tämä on kenttä, jonka lompakkosovelluksesi näyttää "maksat ___". Hyökkääjä voi laittaa minkä tahansa nimen tähän.

Tagi 60, Kauppiaan kaupunki

Enintään 15 merkkiä. Missä kauppias sijaitsee.

Tagi 61, Postinumero

Valinnainen mutta hyödyllinen petostunnistuksessa: yhdysvaltalainen kauppias, jonka postinumero ei vastaa kaupunkia, on merkki epäilyttävästä toiminnasta.

Tagi 62, Lisäkenttätiedot

Alatagi-TLV. Sisällä: laskunumero, puhelinnumero, myymäläetiketti, kanta-asiakasnumero, viite-etiketti, tarkoitus.

Tagi 63, CRC-tarkistussumma

CRC-16/CCITT-FALSE kaiken edellä olevan yli (mukaan lukien CRC TLV:n "6304"-otsikko). Jos tämä ei täsmää, QR-koodia on muutettu tai se on vioittunut.

Tarranvaihtohyökkäys, globaali QR-petos nro 1

Tekniikka on masentavan yksinkertainen:

Hyökkääjä tulostaa QR-koodin, joka osoittaa omalle maksutililleen.
He laittavat tulostetun QR-koodin tarralle (tai tulostavat suoraan liimapapeille).
He kävelevät läpi markkinan, ravintolapiirin tai parkkialueen ja liittävät vaihto-QR:n laillisen kauppiaan QR:n päälle.
Jokainen skannaava asiakas maksaa hyökkääjälle.

Kauppias ei huomaa mitään ennen päivän tilityksen tekemistä.

Petos on dokumentoitu kaikissa maissa, joissa mobiilimaksaminen on yleistä: Brasilia (Pix-tarranvaihto parkkimittarilla), Intia (UPI-vaihto ravintolassa) ja niin edelleen.

Maksu-QR:n vahvistaminen ennen maksamista

Mitä skannerimme näyttää sinulle:

Kauppiaannimi + kaupunki + maa, vastaako tämä liikettä, jonka edessä fyysisesti seisot?
Valuutta + summa, vastaako QR-koodin summa laskua?
Staattinen vs. dynaaminen, jos se on staattinen, lompakkosi pyytää sinua syöttämään summan manuaalisesti.
MCC-kategoria, onko kauppiaanluokkakoodi johdonmukainen sen kanssa, mitä he myyvät?
Kansallinen järjestelmä, Pix, UPI, PromptPay jne. tunnistettu nimiavaruus-GUID:sta.
CRC-vahvistustulos, jos virheellinen, QR-koodia on muutettu tai se on vioittunut.
Vastaanottajan tilin tiedot, Pix-avain, UPI VPA, PromptPay-ID jne.

Fyysiset vihjeet tarkistettavaksi ennen skannaamista:

Tarra kuoriutuu kulmista? Uusi ja mahdollisesti hyökkääjän lisäämä.
Tarra on asetettu TOISEN tarran PÄÄLLE? Mahdollinen vaihto.
QR tulostettuna halvalle paperille teipattuna kauppiaan merkityn QR:n päälle? Lähes varmasti petos.
QR sijoitettu paikkaan, jossa kauppias ei ehkä tarkista usein (parkkimittarin takana, tiskin alla)?

Maakohtaiset järjestelmät, jotka tunnistamme

Analysaatorimme tunnistaa maakohtaisen tunnisteen ja merkitsee tuloksen paikallisella maksujärjestelmän nimellä, jos sellainen on käytössä. Tällä hetkellä kattaa 54 maata, mukaan lukien kaikki merkittävät pikamaksujärjestelmät. Koko luettelo järjestelmäkohtaisine tietoineen löytyy standardikeskuksesta.

Aiheeseen liittyvää

Skannaa ennen maksamista

Pudota QR-koodi skannerimme. Tulos näyttää kauppiaan, kaupungin, maan, summan, valuutan ja sen, onko CRC-tarkistussumma kelvollinen.

Avaa skanneri →