What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Is deze handelaars-betaling-QR veilig om te betalen?

De QR op een restauranttafel, parkeermachine of marktkraam werkt bijna altijd op EMVCo's TLV-formaat. Hij bevat de naam, stad, land, valuta, optioneel bedrag en een CRC-16-controlesom van de handelaar die mislukt als de payload is gewijzigd. De stickerwissel-aanval — een echte QR van een handelaar afdekken met die van de aanvaller — is de meest voorkomende QR-fraude wereldwijd. De QR decoderen vóór betaling laat zien aan wie u werkelijk betaalt.

Scan een handelaars-QR → Alle standaarden →

Wat is het formaat

De standaard is de EMVCo QR Code Specification, gepubliceerd door hetzelfde EMVCo-consortium dat chip-en-pinkaarten definieerde. Twee varianten delen het grootste deel van het formaat:

MPM (Merchant-Presented Mode): de handelaar toont de QR, u scant en betaalt. Dit ziet u in restaurants, marktkramen en parkeermachines.
CPM (Consumer-Presented Mode): uw wallet toont de QR, de handelaar scant hem. Minder gebruikelijk; gebruikt bij sommige bemande kassen en in ov-toegangspoortjes.

Bijna elk nationaal instant-betalingsschema is gebouwd op EMVCo MPM met enkele landspecifieke tags bovenop:

Pix (Brazilië), werelds grootste op transactievolume
UPI (India), werelds grootste op gebruikersaantal
PromptPay (Thailand) · PayNow (Singapore) · DuitNow (Maleisië) · QRIS (Indonesië)
Bizum (Spanje) · Swish (Zweden) · BLIK (Polen) · MB WAY (Portugal)
Wero (EU meerdere landen) en nog enkele tientallen: 54 landen in onze analysercatalogus

Het formaat is Tag-Length-Value-tekst, geen versleuteling, decodeerbaar door elke QR-scanner. De identiteit van de handelaar staat in gewone tekst en is wat uw wallet-app toont.

Anatomie van een handelaar-betaling-QR

Elke EMVCo-payload begint met 000201 (Payload Format Indicator). Wat volgt is een reeks TLV-records: twee-teken-tag, twee-cijfer-lengte, waarde van die lengte, herhaald.

Tag 01, initiatiepunt

11 = statische QR (herbruikbaar, u voert het bedrag zelf in).
12 = dynamische QR (eenmalig, bedrag vooraf ingevuld door het kassasysteem van de handelaar).

Tags 26-51, Handelaaraccountinfo

Landspecifieke ontvangersidentifier. Pix-sleutel (CPF / CNPJ / e-mail / telefoon / EVP UUID), UPI Virtual Payment Address, PromptPay-telefoon of nationaal ID, etc.

Tag 52, Merchant Category Code (MCC)

ISO 18245 4-cijferige categorie. 5812 = restaurant, 5411 = supermarkt, 7011 = logies, 5541 = tankstation, etc.

Tag 53, Valuta

ISO 4217-numerieke code. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (Braziliaanse real), 356 = INR (Indiase roepie).

Tag 54, Bedrag

Optioneel. Aanwezig in dynamische QR's (de handelaar heeft het vooraf ingevuld), afwezig in statische QR's (u voert het zelf in).

Tags 55-57, Fooi / gemaksvergoeding

Optioneel. 55 geeft aan of een fooiprompt moet verschijnen; 56 / 57 bevatten een vaste of procentuele gemaksvergoeding.

Tag 58, Land

ISO 3166-1 alpha-2-landcode. Nuttig wanneer betaalapps grensoverschrijdende overboekingen ondersteunen.

Tag 59, Handelaarsnaam

Tot 25 tekens. Dit is het veld dat uw wallet-app toont als "u betaalt aan ___". De handelaar bepaalt volledig wat hier staat. Een aanvaller die een stickerwissel uitvoert, plaatst welke string hij wil hier.

Tag 60, Handelaarsstad

Tot 15 tekens. Waar de handelaar zich bevindt.

Tag 61, Postcode

Optioneel maar nuttig voor fraudedetectie: een Amerikaanse handelaar wiens postcode niet overeenkomt met de stad is een signaal.

Tag 62, Aanvullend gegevensveld

Sub-TLV. Bevat: factuurnummer, mobiel nummer, winkelnummer, loyaliteitsnummer, referentielabel, klantnummer, terminallabel, transactiedoel.

Tag 63, CRC-controlesom

CRC-16/CCITT-FALSE over alles ervóór (inclusief de "6304"-header van het CRC-TLV zelf). Als dit niet overeenkomt, is de QR gewijzigd of beschadigd.

De stickerwissel-aanval: wereldwijd QR-fraude №1

De techniek is ontmoedigend eenvoudig:

De aanvaller print een QR die wijst naar zijn eigen betaalrekening.
Hij plakt de geprinte QR op een sticker (of print direct op zelfklevend papier).
Hij loopt door een markt, restaurantstraat of parkeermachinegebied en plakt de wissel-QR over de legitieme handelaars-QR.
Elke klant die scant, betaalt de aanvaller.

De handelaar merkt het pas wanneer de dagafsluiting aantoont dat de omzet tekortkomt. De klant merkt het niet omdat zijn wallet zegt "u heeft betaald aan", en de aanvaller kan de echte naam van de handelaar in tag 59 zetten. Of iets dergelijks ("Joe's Pizz4", "Joe's Pizzeria 2"): kleine variaties die een drukke klant niet opmerkt.

De fraude is gedocumenteerd in elk land waar mobiele betalingen gangbaar zijn: Brazilië (Pix-stickerwissel bij parkeermachines), India (UPI-stickerwissel bij tankstations), China (WeChat Pay-stickerwissel op etalageruiten), Singapore (PayNow bij hawker centres), VK (spaarpot-QR-wissels), VS (parkeermachines in Austin, San Francisco, LA).

Hoe u een betaling-QR verifieert vóór betaling

Wat onze scanner u toont:

Handelaarsnaam + stad + land: klopt dit met de winkel waar u fysiek voor staat? Lees het zorgvuldig; stickerwissel-fraude gebruikt vaak bijna-overeenkomsten.
Valuta + bedrag: klopt het bedrag in de QR met de rekening?
Statisch vs. dynamisch: is het statisch, dan vraagt uw wallet u het bedrag in te voeren. Is het dynamisch, dan staat het bedrag vast.
MCC-categorie: is de handelaarscategoriecode consistent met wat ze verkopen? Een restaurant-QR met MCC 7995 (gokken) is verdacht.
Nationaal schema: Pix, UPI, PromptPay, etc. herkend aan de landtag.
CRC-validatieresultaat: als ongeldig, is de QR gewijzigd of beschadigd. Niet betalen.
Rekeninggegevens ontvanger: de Pix-sleutel, UPI VPA, PromptPay-ID, etc. waarnaar het geld wordt gerouteerd. Als u eerder bij deze handelaar heeft betaald, klopt het dan?

Fysieke aanwijzingen om te controleren vóór het scannen:

Sticker die aan de hoeken loslaat? Recent aangebracht en mogelijk door een aanvaller toegevoegd.
Sticker geplakt OVER een andere sticker? Mogelijke wissel.
QR geprint op goedkoop papier geplakt over de handelaars' gebrandmerkte QR? Vrijwel zeker fraude.
QR op een plek waar de handelaar mogelijk niet vaak controleert (achterkant van een parkeermachine, achter een toonbank)? Hoger wisselrisico.

Landspecifieke schema's die wij identificeren

Onze analyser herkent de landtag en labelt het oordeel met de lokale schemanaam wanneer die van toepassing is. Dekt momenteel 54 landen inclusief alle grote instant-betalingssystemen. Zie de standaardenoverviewpagina voor de volledige lijst met per-schema details.

Gerelateerd

Scan voordat u betaalt

Sleep de QR in onze scanner. Het oordeel toont handelaar, stad, land, bedrag, valuta en of de CRC-controlesom geldig is. Duurt een paar seconden. Kan u de kosten van een diner of een hele maand parkeren besparen.

Scanner openen →