What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Apakah QR pembayaran pedagang ini aman untuk dibayar?

QR di meja restoran, meteran parkir, atau kios pasar hampir selalu menggunakan format TLV dari EMVCo. Format ini memuat nama pedagang, kota, negara, mata uang, jumlah opsional, dan checksum CRC-16 yang akan gagal jika muatan telah diubah. Serangan tukar stiker, menutupi QR pedagang asli dengan QR penyerang, adalah penipuan QR paling umum di seluruh dunia. Mendekode QR sebelum membayar menunjukkan kepada Anda siapa sebenarnya yang Anda bayar.

Pindai QR pedagang → Semua standar →

Apa formatnya

Standarnya adalah EMVCo QR Code Specification, diterbitkan oleh konsorsium EMVCo yang sama yang mendefinisikan kartu chip-and-pin. Dua varian berbagi sebagian besar format:

MPM (Merchant-Presented Mode), merchant menampilkan QR, Anda memindai dan membayar. Inilah yang Anda lihat di restoran, lapak pasar, dan meteran parkir.
CPM (Consumer-Presented Mode), dompet Anda menampilkan QR, merchant memindainya. Kurang umum; digunakan di beberapa kasir bertenaga dan di gerbang tarif transportasi umum.

Hampir setiap skema pembayaran instan suatu negara dibangun di atas EMVCo MPM dengan beberapa tag khusus negara yang ditambahkan:

Pix (Brasil), terbesar di dunia berdasarkan volume transaksi
UPI (India), terbesar di dunia berdasarkan jumlah pengguna
PromptPay (Thailand) · PayNow (Singapura) · DuitNow (Malaysia) · QRIS (Indonesia)
Bizum (Spanyol) · Swish (Swedia) · BLIK (Polandia) · MB WAY (Portugal)
Wero (multi-negara EU) dan beberapa lusin lainnya, setara 54 negara dalam katalog penganalisis kami

Formatnya adalah teks Tag-Length-Value, tanpa enkripsi, dapat didekode oleh scanner QR mana pun. Identitas pedagang dikodekan dalam teks biasa dan itulah yang ditampilkan aplikasi dompet Anda.

Anatomi QR pembayaran merchant

Setiap payload EMVCo dimulai dengan 000201 (Payload Format Indicator). Setelah itu adalah rangkaian rekaman TLV, tag dua karakter, panjang dua digit, nilai sepanjang itu, berulang.

Tag 01, Titik Inisiasi

11 = QR statis (dapat digunakan ulang, Anda memasukkan jumlahnya sendiri).
12 = QR dinamis (sekali pakai, jumlah sudah diisi oleh POS merchant).

Tag 26-51, Informasi Akun Merchant

Identifikasi penerima khusus negara. Kunci Pix (CPF / CNPJ / email / telepon / EVP UUID), Alamat Pembayaran Virtual UPI, nomor telepon PromptPay atau nomor identitas nasional, dll.

Tag 52, Kode Kategori Pedagang (MCC)

Kategori 4 digit ISO 18245. 5812 = restoran, 5411 = bahan makanan, 7011 = penginapan, 5541 = SPBU, dll.

Tag 53, Mata Uang

Kode numerik ISO 4217. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (real Brasil), 356 = INR (rupee India).

Tag 54, Jumlah

Opsional. Hadir dalam QR dinamis (merchant telah mengisinya terlebih dahulu), tidak ada dalam QR statis (Anda memasukkannya sendiri).

Tag 55-57, Tip / Biaya Kenyamanan

Opsional. 55 menunjukkan apakah prompt tip harus muncul; 56 / 57 membawa biaya kenyamanan dalam jumlah tetap atau persentase.

Tag 58, Negara

Kode negara ISO 3166-1 alpha-2. Berguna saat aplikasi pembayaran mendukung transfer lintas batas.

Tag 59, Nama Merchant

Hingga 25 karakter. Ini adalah kolom yang ditampilkan aplikasi dompet Anda sebagai "Anda membayar ___". Merchant sepenuhnya mengontrol apa yang ada di sini. Penyerang yang membuat stiker palsu dapat memasukkan teks apa pun yang mereka inginkan di sini.

Tag 60, Kota Merchant

Hingga 15 karakter. Tempat lokasi pedagang.

Tag 61, Kode Pos

Opsional tetapi berguna untuk deteksi penipuan: merchant AS yang kode posnya tidak cocok dengan kotanya adalah tanda peringatan.

Tag 62, Bidang Data Tambahan

Sub-TLV. Di dalamnya: nomor tagihan, nomor ponsel, label toko, nomor loyalitas, label referensi, label pelanggan, label terminal, tujuan transaksi.

Tag 63, Checksum CRC

CRC-16/CCITT-FALSE atas semua data sebelumnya (termasuk header "6304" dari TLV CRC itu sendiri). Jika ini tidak cocok, QR telah diubah atau rusak.

Serangan tukar stiker, penipuan QR global №1

Tekniknya sangat sederhana dan memprihatinkan:

Penyerang mencetak QR yang mengarah ke akun pembayaran mereka sendiri.
Mereka menempelkan QR yang dicetak pada stiker (atau mencetaknya langsung di kertas perekat).
Mereka berjalan melalui pasar, kawasan restoran, atau zona meteran parkir, lalu menempelkan QR palsu di atas QR pedagang yang sah.
Setiap pelanggan yang memindai membayar penyerang.

Pedagang tidak menyadari hingga rekonsiliasi harian menunjukkan pendapatan yang kurang. Pelanggan tidak menyadari karena dompet mereka menampilkan "Anda membayar ", dan penyerang dapat memasukkan nama asli pedagang di tag 59. Atau mendekatinya ("Joe's Pizz4", "Joe's Pizzeria 2"), variasi kecil yang tidak disadari oleh pelanggan yang sibuk.

Penipuan ini telah terdokumentasi di setiap negara tempat pembayaran seluler tersebar luas: Brasil (penukaran stiker Pix di meteran parkir), India (penukaran stiker UPI di pompa bensin), Tiongkok (penukaran stiker WeChat Pay di jendela toko), Singapura (PayNow di pusat jajanan), Inggris (penukaran QR kotak donasi), AS (meteran parkir di Austin, San Francisco, LA).

Cara memverifikasi QR pembayaran sebelum membayar

Yang ditampilkan scanner kami:

Nama merchant + kota + negara, apakah ini cocok dengan toko yang sedang Anda kunjungi secara langsung? Baca dengan teliti, penipuan tukar stiker sering menggunakan nama yang mirip.
Mata uang + jumlah, apakah jumlah dalam QR sesuai dengan tagihan?
Statis vs dinamis, jika statis, dompet Anda akan meminta Anda memasukkan jumlah. Jika dinamis, jumlahnya sudah terkunci.
Kategori MCC, apakah kode kategori merchant sesuai dengan apa yang mereka jual? QR restoran dengan MCC 7995 (perjudian) patut dicurigai.
Skema nasional, Pix, UPI, PromptPay, dll. dikenali dari tag negara.
Hasil validasi CRC, jika tidak valid, QR telah diubah atau rusak. Jangan bayar.
Info akun penerima, kunci Pix, UPI VPA, ID PromptPay, dll. tempat uang akan dikirim. Jika Anda pernah membayar merchant ini sebelumnya, apakah cocok?

Tanda fisik yang perlu diperiksa sebelum memindai:

Stiker terkelupas di sudut-sudutnya? Baru dipasang dan kemungkinan ditambahkan oleh penyerang.
Stiker ditempel DI ATAS stiker lain? Kemungkinan terjadi pertukaran.
QR dicetak di kertas murah yang ditempel di atas QR bermerek milik pedagang? Hampir pasti penipuan.
QR dipasang di tempat yang jarang diperiksa pedagang (bagian belakang meteran parkir, di balik meja)? Risiko pertukaran lebih tinggi.

Skema spesifik negara yang kami identifikasi

Penganalisis kami mengenali tag negara dan memberi label pada hasil dengan nama skema lokal jika ada yang berlaku. Saat ini mencakup 54 negara termasuk semua sistem pembayaran instan utama. Lihat pusat standar untuk daftar lengkap dengan detail per skema.

Terkait

Pindai sebelum membayar

Masukkan QR ke pemindai kami. Hasilnya menampilkan merchant, kota, negara, jumlah, mata uang, dan apakah checksum CRC valid. Hanya butuh beberapa detik. Bisa menghindarkan Anda dari kerugian sebesar biaya makan malam, atau seluruh anggaran parkir sebulan.

Buka pemindai →