What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Adakah QR pembayaran peniaga ini selamat untuk dibayar?

QR di atas meja restoran, meter tempat letak kenderaan, atau kios pasar hampir selalu berjalan dalam format TLV EMVCo. Ia membawa nama peniaga, bandar, negara, matawang, jumlah yang boleh dipilih, dan checksum CRC-16 yang gagal jika payload telah diubah. Serangan penukaran sticker, menutup QR peniaga sebenar dengan QR penyerang, adalah penipuan QR yang paling umum di dunia. Mendaftar QR sebelum membayar menunjukkan siapa sebenarnya yang anda bayar.

Skan QR peniaga → Semua piawaian →

Format apa

Piawaian ialah Spesifikasi Kod QR EMVCo, diterbitkan oleh konsorsium EMVCo yang sama yang menentukan kad chip dan pin. Dua rasa berkongsi kebanyakan format:

MPM (Mod Pemindai Perniagaan), perniagaan menunjukkan QR, anda meminda dan membayar. Ini adalah yang anda lihat di restoran, kios pasar, dan meter tempat letak kenderaan.
CPM (Mod Pemindai Pengguna), skrin dompet anda menunjukkan QR, perniagaan meminda. Kurang umum; digunakan di beberapa kaunter yang diperhatikan dan gerbang bayaran dalam perjalanan.

Kira-kira setiap negara skema bayaran segera dibina atas EMVCo MPM dengan beberapa tag khas negara dilapiskan: /think

Pix (Brazil), terbesar di dunia berdasarkan jumlah transaksi
UPI (India), terbesar di dunia berdasarkan jumlah pengguna
PromptPay (Thailand) · PayNow (Singapura) · DuitNow (Malaysia) · QRIS (Indonesia)
Bizum (Spanyol) · Swish (Sweden) · BLIK (Poland) · MB WAY (Portugal)
Wero (multi-negara dalam Eropah) dan beberapa puluhan lagi, 54 negara dalam katalog analisis kami

Format ini adalah teks Tag-Length-Value, tanpa enkripsi, boleh didekodkan oleh sebarang peminda QR. Identiti peniaga dienkod dalam teks biasa dan inilah yang ditunjukkan aplikasi wallet anda.

Anatomi kod QR pembayaran perniagaan

Setiap payload EMVCo bermula dengan 000201 (Penunjuk Format Payload). Yang mengikutinya adalah urutan rekod TLV, dua huruf tag, dua digit panjang, nilai panjang tersebut, berulang.

Tag 01, Titik Permulaan

11 = QR statik (boleh digunakan semula, anda masukkan jumlah sendiri).
12 = QR dinamik (satu-sesuatu, jumlah telah diisi oleh POS pembekal).

Tag 26-51, Maklumat Akaun Pembekal

Penentu penerima berdasarkan negara. Kunci Pix (CPF / CNPJ / email / telefon / UUID EVP), Alamat Pembayaran Virtual UPI, Nombor Telefon atau ID Negara PromptPay, dll.

Tag 52, Kod Kategori Pembekal (MCC)

Kod kategori 4-digit ISO 18245. 5812 = restoran, 5411 = pasar raya, 7011 = penginapan, 5541 = stesen minyak, dll.

Tag 53, Wang

Kod nombor ISO 4217. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (ringgit Brazil), 356 = INR (rupee India).

Tag 54, Jumlah

Pilihan. Hadir dalam QR dinamik (jumlah telah diisi oleh pembekal), tiada dalam QR statik (anda masukkan sendiri).

Tag 55-57, Tip / Yuran Kemudahan

Pilihan. 55 menunjukkan sama ada mesej tip perlu muncul; 56 / 57 memaparkan bayaran kemudahan tetap atau peratusan.

Tag 58, Negara

Kod negara ISO 3166-1 alpha-2. Berguna apabila aplikasi pembayaran menyokong penghantaran lintas batas.

Tag 59, Nama Pembeli

Hingga 25 aksara. Ini adalah medan yang aplikasi dompet anda paparkan sebagai "anda membayar ___". Pembeli mengendalikan sepenuhnya apa yang terdapat di sini. Pemangsa yang mencipta sticker-swap boleh memasukkan apa juga string yang mereka mahu di sini.

Tag 60, Bandar Pembeli

Hingga 15 aksara. Tempat di mana pembeli berada.

Tag 61, Kod Pos

Pilihan tetapi berguna untuk deteksi penipuan: pembeli AS yang kod posnya tidak sepadan dengan bandar adalah tanda.

Tag 62, Medan Data Tambahan

Sub-TLV. Di dalamnya: nombor bil, nombor telefon bimbit, label stor, nombor kesetiaan, label rujukan, label pelanggan, label terminal, tujuan transaksi.

Tag 63, Checksum CRC

CRC-16/CCITT-FALSE ke atas semua yang terdahulu (termasuk header “6304” CRC TLV itu sendiri). Jika tidak sesuai, QR telah diubah atau rosak.

Serangan sticker-swap, penipuan QR global №1

Teknik ini sangat mudah untuk dipahami:

Penyerang mencetak QR yang mengarahkan ke akaun pembayaran mereka sendiri. /think
Mereka melekatkan QR yang dicetak pada sticker (atau cetak secara langsung pada kertas pelekat).
Mereka berjalan melalui pasar, kawasan restoran, atau kawasan meter parkir, dan melekatkan QR swap di atas QR pembekal sah.
Setiap pelanggan yang memscan akan membayar penipu.

Peniaga tidak menyedari sehingga laporan keseimbangan harian menunjukkan jumlah jualan kurang. Pelanggan tidak menyedari kerana wallet mereka menunjukkan 'anda telah membayar', dan penyerang boleh memasukkan nama peniaga yang sebenar dalam tag 59. Atau hampir sama ('Joe’s Pizz4', 'Joe’s Pizzeria 2'), variasi ringan yang pelanggan sibuk tidak perasan.

Penipuan ini telah direkodkan di setiap negara di mana pembayaran mudah dijalankan: Brazil (Pix sticker-swap di meter parkir), India (UPI sticker-swap di pompa minyak), China (WeChat Pay sticker-swap di tingkap kedai), Singapura (PayNow di pusat-pusat jualan kaki), UK (QR-swap kotak sumbangan), US (meter parkir di Austin, San Francisco, LA).

Bagaimana untuk memverifikasi QR pembayaran sebelum membayar

Apa yang peminda kita tunjukkan kepada anda:

Nama Pembeli + Bandar + Negara, sama ada ini sepadan dengan kedai yang anda berdiri di hadapan? Baca dengan teliti, penipuan sticker-swap sering menggunakan hampir padan. /think
Kekurangan + jumlah, adakah jumlah dalam QR selaras dengan bil?
Statis vs dinamik, jika ia statis, wallet anda akan meminta anda memasukkan jumlah. Jika dinamik, jumlahnya dikunci.
Kategori MCC, adakah kod kategori peniaga selaras dengan apa yang mereka jual? QR restoran dengan MCC 7995 (judi) adalah tidak wajar.
Skema nasional, Pix, UPI, PromptPay, dll. yang diakui dari tag negara.
Hasil pengesahan CRC, jika tidak sah, QR telah diubah atau terkerosak. Jangan bayar.
Maklumat akaun penerima, kunci Pix, VPA UPI, ID PromptPay, dll. yang wang akan dialihkan. Jika anda pernah membayar peniaga ini sebelumnya, adakah ia selaras?

Petunjuk fizikal untuk disemak sebelum pemindaian:

Sticker melekat di sudut? Baru dan mungkin ditambah oleh pihak penyerang.
Sticker diletakkan ATAS satu sticker lagi? Mungkin penukaran.
QR dicetak pada kertas murah yang dilitup di atas QR cetakan berbrand peniaga? Hampir pasti penipuan. /think
QR yang ditempel di tempat yang peniaga mungkin tidak semak sering (belakang meter parkir, di belakang meja)? Risiko pertukaran yang lebih tinggi.

Sistem-sistem khas negara yang kami kenal pasti

Analisis kami mengenali tag negara dan melabelkan keputusan dengan nama sistem tempatan apabila satu diterapkan. Sekarang menyelesaikan 54 negara termasuk semua sistem pembayaran langsung utama. Lihat pusat piawaian untuk senarai penuh dengan butiran per-sistem.

Kaitan

Pinda sebelum membayar

Letakkan QR ke dalam pemindaan kami. Hasilnya menunjukkan perniagaan, bandar, negara, jumlah, mata wang, dan sama ada checksum CRC adalah sah. Mengambil beberapa saat. Boleh menyelamatkan kos makan malam, atau bulan penuh budget tempat letak kenderaan.

Buka pemindaan →