What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Er denne kjøpmannbetalings-QR trygg å betale?

QR-koden på et restaurantbord, parkeringsautomat eller markedsbod kjører nesten alltid på EMVCo sitt TLV-format. Den inneholder kjøpmannens betalingskontoinformasjon, valuta og beløp. Slik vet du om QR-koden er trygg å betale.

Skann en kjøpmann-QR → Alle standarder →

Hva er formatet

Standarden er EMVCo QR Code Specification, publisert av EMV Co LLC, eid av Visa, Mastercard, Amex og Discover.

MPM (Merchant-Presented Mode), kjøpmannen viser QR-koden, du skanner og betaler. Dette er det denne siden dokumenterer.
CPM (Consumer-Presented Mode), lommeboken din viser QR-koden, kjøpmannen skanner den. Brukes i kollektivtransport og visse markeder.

Nesten hvert lands direktebetalingsoppsett er bygget på EMVCo MPM med et landsspesifikt tagg-26-navnerom-GUID.

Pix (Brasil), størst etter transaksjonsvolum
UPI (India), størst etter brukerantall
PromptPay (Thailand) · PayNow (Singapore) · DuitNow (Malaysia) · QRIS (Indonesia)
Bizum (Spania) · Swish (Sverige) · BLIK (Polen) · MB WAY (Portugal)
Wero (EU flernasjonalt) og dusinvis av andre, 54 lands betalingsoppsett

Formatet er Tag-Length-Value tekst, ingen kryptering, dekoderbar av enhver QR-skanner.

Anatomien til en kjøpmann-presentert betalings-QR

Hver EMVCo-nyttelast begynner med 000201 (nyttelastformatindikator). TLV-taggene er tosifrede ASCII-desimalverdier; indre tagger (f.eks. 26 = kjøpmannsinformasjon) inneholder sine egne TLV-tripler.

Tagg 01, Initieringsmetode

11 = statisk QR (gjenbrukbar, du fyller inn beløpet selv).
12 = dynamisk QR (beløp innebygd, genereres per transaksjon).

Tagger 26–51, Kjøpmannkontoinformasjon

Landsspesifikk mottakeridentifikator. Pix-nøkkel (CPF / CNPJ / e-post / telefon / EVP UUID) for Brasil; UPI VPA for India; PromptPay-ID for Thailand.

Tagg 52, Kjøpmannkategorikode (MCC)

ISO 18245 4-sifret kategori. 5812 = restaurant, 5411 = dagligvare, 7011 = overnatting, 5541 = bensinstasjon, 4121 = taxi.

Tagg 53, Valuta

ISO 4217 numerisk kode. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (brasiliansk real), 356 = INR (indisk rupi).

Tagg 54, Beløp

Valgfri. Til stede i dynamiske QR-koder (kjøpmannen har forhåndsutfylt det), fraværende i statiske (du fyller inn beløpet selv).

Tagger 55–57, Tips / serviceavgift

Valgfri. 55 angir om det skal vises tipsprompt; 56/57 bærer et fast beløp eller prosentsats for serviceavgift.

Tagg 58, Land

ISO 3166-1 alfa-2 landskode. Nyttig når betalingsapper støtter grenseoverskridende overføringer.

Tagg 59, Kjøpmannens navn

Opptil 25 tegn. Dette er feltet lommeboksappen din viser som «du betaler til». Angriperen kan sette hvilket navn som helst her.

Tagg 60, Kjøpmannens by

Opptil 15 tegn. Stedet kjøpmannen befinner seg.

Tagg 61, Postnummer

Valgfritt men nyttig for svindeloppdagelse: en US-kjøpmann der postnummeret ikke stemmer overens med byen er et varselsignal.

Tagg 62, Tilleggsdatafelt

Sub-TLV. Inni: fakturanummer, mobilnummer, butikketikett, lojalitetsnummer, referanseetikett, formål.

Tagg 63, CRC-kontrollsum

CRC-16/CCITT-FALSE over alt foregående (inkludert «6304»-hodet til CRC TLV-en selv). Hvis dette ikke stemmer, ble QR-koden endret eller ødelagt.

Klistremerkebyttet, global QR-svindel nr. 1

Teknikken er nedslående enkel:

Angriperen skriver ut en QR som peker til sin egen betalingskonto.
De legger den utskrevne QR-koden på et klistremerke (eller skriver direkte på selvklebende papir).
De går gjennom et marked, restaurantstrøk eller parkeringssone og kleber svindel-QR-en over den legitime kjøpmannens QR.
Hver kunde som skanner betaler angriperen.

Kjøpmannen merker ingenting før dagens avregning viser at inntektene mangler.

Svindelen er dokumentert i hvert land der mobilbetaling er utbredt: Brasil (Pix-klistremerkebytte på parkeringsautomat), India (UPI-bytte på restaurantbord), og resten.

Slik verifiserer du en betalings-QR før du betaler

Hva skanneren vår viser deg:

Kjøpmannsnavn + by + land, stemmer dette med butikken du fysisk står foran?
Valuta + beløp, stemmer beløpet i QR-koden med regningen?
Statisk vs. dynamisk, hvis den er statisk ber lommeboken din deg fylle inn beløpet manuelt.
MCC-kategori, er kjøpmannskategorikoden konsekvent med hva de selger?
Nasjonalt oppsett, Pix, UPI, PromptPay osv. gjenkjent fra navnerom-GUID-en.
CRC-valideringsresultat, hvis ugyldig er QR-koden endret eller ødelagt.
Mottakers kontoinformasjon, Pix-nøkkelen, UPI VPA, PromptPay-ID osv.

Fysiske ledetråder å inspisere før du skanner:

Klistremerket løsner i hjørnene? Nytt og muligens lagt av en angriper.
Klistremerket er lagt OVER et annet klistremerke? Mulig bytte.
QR-kode skrevet ut på billig papir teipet over kjøpmannens merkede QR? Nesten sikkert svindel.
QR-kode plassert der kjøpmannen kanskje ikke sjekker ofte (baksiden av en parkeringsautomat, bak en disk)?

Landsspesifikke oppsett vi identifiserer

Analysatoren vår gjenkjenner landkoden og merker svaret med det lokale systemnavnet når det passer. Dekker for øyeblikket 54 land, inkludert alle de store øyeblikkelige betalingssystemene. Se standardshuben for den fullstendige listen med detaljer per system.

Relatert

Skann før du betaler

Slipp QR-koden i skanneren vår. Resultatet viser kjøpmann, by, land, beløp, valuta og om CRC-kontrollsummen er gyldig.

Åpne skanner →

Er denne kjøpmann­betalings-QR trygg å betale?