What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

क्या यह मर्चेंट पेमेंट QR पेमेंट करने के लिए सुरक्षित है?

किसी रेस्तरां की टेबल, पार्किंग मीटर, या बाज़ार की दुकान पर QR लगभग हमेशा EMVCo के TLV फ़ॉर्मेट पर चलता है। हम इसे पूरी तरह डीकोड करते हैं।

मर्चेंट QR स्कैन करें → सभी मानक →

फ़ॉर्मेट क्या है

स्टैंडर्ड EMVCo QR Code Specification है, जिसे उसी EMVCo consortium ने प्रकाशित किया जो chip-and-PIN cards को नियंत्रित करता है।

MPM (Merchant-Presented Mode), मर्चेंट QR दिखाता है, आप स्कैन करके पेमेंट करते हैं। यही आप टेबल और काउंटर पर देखते हैं।
CPM (Consumer-Presented Mode), आपका वॉलेट QR दिखाता है, मर्चेंट इसे स्कैन करता है। कम सामान्य, ट्रांज़िट और लॉयल्टी में उपयोग।

लगभग हर देश की इंस्टेंट-पेमेंट योजना EMVCo MPM के ऊपर कुछ देश-विशिष्ट टैग के साथ बनी है:

Pix (Brazil), ट्रांज़ेक्शन वॉल्यूम के हिसाब से विश्व में सबसे बड़ा
UPI (India), उपयोगकर्ता संख्या के हिसाब से विश्व में सबसे बड़ा
PromptPay (थाईलैंड) · PayNow (सिंगापुर) · DuitNow (मलेशिया) · QRIS (इंडोनेशिया)
Bizum (Spain) · Swish (Sweden) · BLIK (Poland) · Twint (Switzerland)
Wero (EU multi-country) और कई दर्जन और, हमारे एनालाइज़र में 54 देशों के मूल्य।

फ़ॉर्मेट Tag-Length-Value टेक्स्ट है, कोई एन्क्रिप्शन नहीं, किसी भी QR स्कैनर द्वारा डीकोड योग्य। मर्चेंट पहचान सादे में है।

मर्चेंट पेमेंट QR की संरचना

हर EMVCo payload 000201 (Payload Format Indicator) से शुरू होता है। इसके बाद TLV रिकॉर्ड की एक श्रृंखला है: दो-कैरेक्टर tag, दो-अंकीय length, उस length का value, बार-बार।

Tag 01, आरंभ का बिंदु

11 = स्टेटिक QR (पुन: उपयोग योग्य, आप राशि खुद दर्ज करते हैं)।
12 = डायनामिक QR (मर्चेंट ने राशि पहले से भरी है)।

Tags 26-51, व्यापारी खाता जानकारी

देश-विशिष्ट प्राप्तकर्ता आइडेंटिफ़ायर। Pix Key (CPF / CNPJ / ईमेल / फ़ोन / EVP UUID), UPI Virtual Payment Address, PromptPay ID, आदि।

Tag 52, व्यापारी श्रेणी कोड (MCC)

ISO 18245 4-अंकीय category। 5812 = रेस्तरां, 5411 = किराना, 7011 = लॉजिंग, 5541 = गैस स्टेशन, आदि।

Tag 53, मुद्रा

ISO 4217 न्यूमेरिक कोड। 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (Brazilian real), 356 = INR (Indian rupee)।

Tag 54, राशि

वैकल्पिक। डायनामिक QR में मौजूद (मर्चेंट ने पहले से भरा), स्टेटिक QR में अनुपस्थित (आप इसे दर्ज करते हैं)।

Tags 55-57, टिप / सुविधा शुल्क

वैकल्पिक। 55 इंगित करता है कि tip prompt आना चाहिए या नहीं; 56 / 57 एक फ़िक्स्ड-राशि या प्रतिशत tip ले जाते हैं।

Tag 58, देश

ISO 3166-1 alpha-2 देश कोड। cross-border ट्रांसफ़र सपोर्ट करने वाले पेमेंट ऐप के लिए उपयोगी।

Tag 59, व्यापारी का नाम

25 char तक। यह वह फ़ील्ड है जिसे आपका वॉलेट ऐप "आप ___ को पेमेंट कर रहे हैं" के रूप में दिखाता है। स्टिकर-स्वैप इस फ़ील्ड को नहीं बदलते — यही कारण है कि नाम मेल नहीं खा सकता।

Tag 60, व्यापारी का शहर

15 char तक। मर्चेंट कहाँ स्थित है।

Tag 61, पिन कोड

वैकल्पिक लेकिन धोखाधड़ी-पहचान के लिए उपयोगी: एक US मर्चेंट जिसका पोस्टल कोड शहर से मेल नहीं खाता, वह संदिग्ध है।

Tag 62, अतिरिक्त डेटा फ़ील्ड

Sub-TLV। अंदर: बिल नंबर, मोबाइल नंबर, स्टोर लेबल, लॉयल्टी नंबर, संदर्भ लेबल, ग्राहक लेबल, terminal label, purpose of transaction।

Tag 63, CRC चेकसम

CRC-16/CCITT-FALSE, CRC TLV के "6304" हेडर सहित सब कुछ पर। यदि यह मेल नहीं खाता, तो QR बदला गया है। हमारा स्कैनर इसे चेक करता है।

स्टिकर-स्वैप हमला, वैश्विक QR धोखाधड़ी №1

तकनीक निराशाजनक रूप से सरल है:

हमलावर अपने स्वयं के पेमेंट खाते की ओर इशारा करने वाला QR प्रिंट करता है।
वे प्रिंटेड QR को एक स्टिकर पर रखते हैं (या सीधे चिपकने वाले कागज़ पर प्रिंट करते हैं)।
वे एक बाज़ार, रेस्तरां जिले, या पार्किंग-मीटर क्षेत्र से गुज़रते हैं, और swap-QR को वैध QR के ऊपर चिपका देते हैं।
स्कैन करने वाला हर ग्राहक हमलावर को पेमेंट करता है।

मर्चेंट को दिन के सामंजस्य तक पता नहीं चलता कि आमदनी कम है। ग्राहक को पेमेंट सफल लगती है।

धोखाधड़ी हर उस देश में दर्ज की गई है जहां मोबाइल पेमेंट प्रचलित है: Brazil (Pix sticker swaps), India (UPI swaps), Singapore (PayNow), और अन्य।

पेमेंट करने से पहले पेमेंट QR कैसे सत्यापित करें

हमारा स्कैनर आपको क्या दिखाता है:

मर्चेंट नाम + शहर + देश, क्या यह उस दुकान से मेल खाता है जहां आप हैं?
Currency + राशि, क्या QR में राशि बिल से मेल खाती है?
स्टेटिक बनाम डायनामिक, यदि यह स्टेटिक है, तो आपका वॉलेट आपसे राशि दर्ज करने को कहेगा। यदि डायनामिक है, तो राशि पहले से सेट है।
MCC category, क्या मर्चेंट category कोड उनके बेचने के अनुरूप है? एक रेस्तरां जो गैस-स्टेशन MCC दिखाता है असामान्य है।
राष्ट्रीय योजना, Pix, UPI, PromptPay, आदि देश tag से पहचाना गया।
CRC validation result, यदि अमान्य है, तो QR बदला या दूषित हो गया है। पेमेंट न करें।
प्राप्तकर्ता खाता जानकारी, Pix key, UPI VPA, PromptPay ID, आदि जिस पर पैसा जाएगा।

स्कैन करने से पहले जांचने के लिए भौतिक संकेत:

कोने से उखड़ता स्टिकर? हाल ही में जोड़ा गया और संभवतः किसी हमलावर द्वारा।
किसी दूसरे स्टिकर के ऊपर लगा स्टिकर? संभावित स्वैप।
मर्चेंट के ब्रांडेड प्रिंटेड QR के ऊपर सस्ते कागज़ पर टेप किया गया QR? लगभग निश्चित रूप से धोखाधड़ी।
ऐसी जगह पर QR जहां मर्चेंट अक्सर जांच नहीं करता (पार्किंग मीटर के पीछे, काउंटर के पीछे)? उच्च जोखिम।

देश-विशिष्ट योजनाएं जिन्हें हम पहचानते हैं

हमारा analyzer देश टैग को पहचानता है और जब कोई स्थानीय योजना लागू होती है तो verdict को उस योजना के नाम के साथ लेबल करता है। वर्तमान में 54 देशों को कवर करता है जिनमें सभी प्रमुख तत्काल-भुगतान प्रणालियाँ शामिल हैं। प्रति-योजना विवरण के साथ पूरी सूची के लिए standards hub देखें।

पेमेंट करने से पहले स्कैन करें

QR को हमारे स्कैनर में डालें। verdict मर्चेंट, शहर, देश, राशि, currency, और CRC वैध है या नहीं दिखाता है।

स्कैनर खोलें →