What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Czy ten QR płatności sprzedawcy jest bezpieczny?

QR na stoliku w restauracji, parkomacie czy straganie prawie zawsze działa na formacie TLV EMVCo. Zawiera nazwę sprzedawcy, miasto, kraj, walutę, opcjonalną kwotę i sumę kontrolną CRC-16, która nie zgadza się, jeśli ładunek został zmieniony. Atak zamiany naklejki — przyklejenie QR atakującego nad prawdziwym QR sprzedawcy — to najczęstsze oszustwo QR na świecie. Zdekodowanie QR przed płatnością pokazuje, komu naprawdę płacisz.

Skanuj QR sprzedawcy → Wszystkie standardy →

Jaki jest format

Standardem jest EMVCo QR Code Specification, opublikowana przez to samo konsorcjum EMVCo, które zdefiniowało karty chip-and-pin. Dwa warianty mają większość formatu wspólną:

MPM (Merchant-Presented Mode — tryb prezentowany przez sprzedawcę): sprzedawca wyświetla QR, Ty skanujesz i płacisz. To właśnie widzisz w restauracjach, straganach i przy parkomatach.
CPM (Consumer-Presented Mode — tryb prezentowany przez konsumenta): Twój portfel wyświetla QR, sprzedawca go skanuje. Mniej powszechny; używany przy niektórych obsługiwanych kasach i bramkach biletowych w transporcie.

Niemal każdy krajowy schemat płatności natychmiastowych jest zbudowany na bazie EMVCo MPM z kilkoma nakładanymi tagami specyficznymi dla danego kraju:

Pix (Brazylia), największy na świecie pod względem wolumenu transakcji
UPI (Indie), największy na świecie pod względem liczby użytkowników
PromptPay (Tajlandia) · PayNow (Singapur) · DuitNow (Malezja) · QRIS (Indonezja)
Bizum (Hiszpania) · Swish (Szwecja) · BLIK (Polska) · MB WAY (Portugalia)
Wero (wiele krajów UE) i kilkadziesiąt innych — łącznie 54 kraje w katalogu naszego analizatora

Format to tekst Tag-Length-Value, bez szyfrowania, dekodowalny przez dowolny skaner QR. Tożsamość sprzedawcy jest zakodowana w postaci zwykłego tekstu i to ją wyświetla Twoja aplikacja portfela.

Anatomia QR płatności sprzedawcy

Każdy ładunek EMVCo zaczyna się od 000201 (wskaźnik formatu ładunku). Następuje po nim sekwencja rekordów TLV: dwuznakowy tag, dwucyfrowa długość, wartość o tej długości — powtarzane.

Tag 01, punkt inicjalizacji

11 = statyczny QR (wielokrotnego użytku, kwotę wpisujesz sam).
12 = dynamiczny QR (jednorazowy, kwota z góry wpisana przez kasę sprzedawcy).

Tagi 26-51, informacje o koncie sprzedawcy

Identyfikator odbiorcy specyficzny dla danego kraju. Klucz Pix (CPF / CNPJ / e-mail / telefon / UUID EVP), wirtualny adres płatności UPI, telefon lub numer krajowy PromptPay itp.

Tag 52, kod kategorii sprzedawcy (MCC)

4-cyfrowa kategoria ISO 18245. 5812 = restauracja, 5411 = sklep spożywczy, 7011 = zakwaterowanie, 5541 = stacja benzynowa itp.

Tag 53, waluta

Kod numeryczny ISO 4217. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (real brazylijski), 356 = INR (rupia indyjska).

Tag 54, kwota

Opcjonalny. Obecny w dynamicznych QR (sprzedawca go z góry wpisał), nieobecny w statycznych QR (wpisujesz go sam).

Tagi 55-57, napiwek / opłata dodatkowa

Opcjonalny. 55 wskazuje, czy powinna pojawić się prośba o napiwek; 56 / 57 przenoszą stałą kwotę lub procentową opłatę dodatkową.

Tag 58, kraj

Dwuliterowy kod kraju ISO 3166-1. Przydatny, gdy aplikacje płatnicze obsługują przelewy transgraniczne.

Tag 59, nazwa sprzedawcy

Maks. 25 znaków. To pole, które Twoja aplikacja portfela wyświetla jako 'płacisz dla ___'. Sprzedawca w pełni kontroluje, co tu jest. Atakujący tworzący zamianę-QR może tu wpisać dowolny ciąg.

Tag 60, miasto sprzedawcy

Maks. 15 znaków. Lokalizacja sprzedawcy.

Tag 61, kod pocztowy

Opcjonalny, ale przydatny do wykrywania oszustw: sprzedawca z USA, którego kod pocztowy nie pasuje do miasta, to sygnał ostrzegawczy.

Tag 62, pole danych dodatkowych

Sub-TLV. W środku: numer rachunku, numer telefonu, etykieta sklepu, numer lojalnościowy, etykieta referencyjna, etykieta klienta, etykieta terminala, cel transakcji.

Tag 63, suma kontrolna CRC

CRC-16/CCITT-FALSE nad wszystkim poprzedzającym (włącznie z nagłówkiem '6304' samego TLV CRC). Jeśli to nie pasuje, QR został zmieniony lub uszkodzony.

Atak zamiany naklejki — globalne oszustwo QR nr 1

Technika jest przygnębiająco prosta:

Atakujący drukuje QR kierujący do własnego konta płatniczego.
Drukuje ten QR na naklejce (lub bezpośrednio na papierze samoprzylepnym).
Przemierza targ, dzielnicę restauracji lub strefę parkomatów i nakleja zamianę-QR na prawdziwy QR sprzedawcy.
Każdy klient, który skanuje, płaci atakującemu.

Sprzedawca nie zauważa tego, dopóki codzienna reconciliacja nie wykaże niedoborów. Klient nie zauważa, bo jego portfel mówi 'zapłacono', a atakujący może umieścić prawdziwe imię sprzedawcy w tagu 59 — albo coś bliskiego ('Pizzeria Jasia 2', 'Piekarnia Konia'), ledwo zauważalne różnice, których zajęty klient nie wychwyci.

Oszustwo zostało udokumentowane w każdym kraju, w którym powszechne są płatności mobilne: Brazylia (zamiana naklejek Pix przy parkomatach), Indie (zamiana naklejek UPI przy stacjach benzynowych), Chiny (zamiana naklejek WeChat Pay na wystawach sklepowych), Singapur (PayNow przy straganach), Wielka Brytania (zamiana QR w skrzynkach na datki), USA (parkometry w Austin, San Francisco, LA).

Jak weryfikować QR płatności przed zapłatą

Co nasz skaner Ci pokazuje:

Nazwa + miasto + kraj sprzedawcy — czy zgadza się to z witryną, przed którą stoisz? Czytaj uważnie, oszustwo zamiany naklejek często używa bliskich dopasowań.
Waluta + kwota — czy kwota w QR zgadza się z rachunkiem?
Statyczny vs dynamiczny — jeśli statyczny, Twój portfel poprosi o wpisanie kwoty. Jeśli dynamiczny, kwota jest z góry ustalona.
Kategoria MCC — czy kod kategorii sprzedawcy jest spójny z tym, co sprzedają? QR restauracji z MCC 7995 (hazard) jest podejrzany.
Krajowy schemat — Pix, UPI, PromptPay itp. rozpoznane z tagu kraju.
Wynik walidacji CRC — jeśli nieprawidłowy, QR został zmieniony lub uszkodzony. Nie płać.
Informacje o koncie odbiorcy — klucz Pix, VPA UPI, ID PromptPay itp., do których trafią pieniądze. Jeśli wcześniej płaciłeś temu sprzedawcy, czy to się zgadza?

Fizyczne wskazówki do sprawdzenia przed skanowaniem:

Naklejka odchodząca przy rogach? Świeża i możliwe że dodana przez atakującego.
Naklejka położona NA innej naklejce? Możliwa zamiana.
QR wydrukowany na tanim papierze przyklejonym na drukowanym QR sprzedawcy? Niemal na pewno oszustwo.
QR umieszczony w miejscu, gdzie sprzedawca rzadko zagląda (tył parkometru, za ladą)? Wyższe ryzyko zamiany.

Schematy krajowe, które identyfikujemy

Nasz analizator rozpoznaje tag kraju i oznacza werdykt lokalną nazwą schematu, gdy ma to zastosowanie. Aktualnie obejmuje 54 kraje, w tym wszystkie główne systemy płatności natychmiastowych. Sprawdź centrum standardów, by zobaczyć pełną listę ze szczegółami dla każdego schematu.

Powiązane

Skanuj przed płatnością

Wrzuć QR do naszego skanera. Werdykt pokazuje sprzedawcę, miasto, kraj, kwotę, walutę i czy suma kontrolna CRC jest prawidłowa. Zajmuje kilka sekund. Może zaoszczędzić Ci koszt kolacji albo całomiesięcznego budżetu na parking.

Otwórz skaner →