What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Varje QR-standard vi stöder

En QR-kod är en behållare. Innehållet kan vara en betalning, ett vaccinationsintyg, ett körkort, ett eSIM, en lösenordsnyckelinloggning eller en smarthemkoppling – var och en styrd av sin egen internationella standard, med sin egen hotmodell. Detta är den auktoritativa referensen för varje standard som vår skanner identifierar, vad som faktiskt finns inuti när du skannar och exakt vad vi visar kontra avsiktligt maskerar.

Skanna en handlare-QR → Alla standarder →

Vad är formatet

Standarden är EMVCo QR Code Specification, publicerad av EMV Co LLC, ägd av Visa, Mastercard, Amex och Discover.

MPM (Merchant-Presented Mode), handlaren visar QR:en, du skannar. Det är denna standardsida dokumenterar.
CPM (Consumer-Presented Mode), din plånbok visar QR:en, handlaren skannar den. Används i kollektivtrafik och vissa marknader.

Nästan varje lands direktbetalningssystem är byggt på EMVCo MPM med ett landsspecifikt tag-26-namnrymds-GUID.

Pix (Brasilien), störst per transaktionsvolym
UPI (Indien), störst per användarantal
PromptPay (Thailand) · PayNow (Singapore) · DuitNow (Malaysia) · QRIS (Indonesien)
Bizum (Spanien) · Swish (Sverige) · BLIK (Polen) · MB WAY (Portugal)
Wero (EU flercountrys) och ytterligare dussintals, 54 länders betalningssystem

Formatet är Tag-Length-Value text, ingen kryptering, avkodningsbar av valfri QR-skanner.

Anatomin hos en handlare-presenterad betalnings-QR

Varje EMVCo-nyttolast börjar med 000201 (Nyttolastformatsindikator). TLV-taggarna är tvåsiffriga ASCII-decimalvärden; innerkantstaggar (t.ex. 26 = handelsakceptör-information) innehåller sina egna TLV-triplar.

Tag 01, Initieringspunkt för metod

11 = statisk QR (återanvändbar, du anger beloppet själv).
12 = dynamisk QR (belopp inbäddat, genereras per transaktion).

Tags 26-51, Handlarekontoinformation

Landsspecifik mottagaridentifierare. Pix-nyckel (CPF / CNPJ / e-post / telefon / EVP) för Brasilien; UPI VPA för Indien; PromptPay-ID för Thailand.

Tag 52, Handelskategorikod (MCC)

ISO 18245 4-siffrig kategori. 5812 = restaurang, 5411 = livsmedelsbutik, 7011 = logi, 5541 = bensinstation, 4121 = taxi.

Tag 53, Valuta

ISO 4217 numerisk kod. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (brasiliansk real), 356 = INR.

Tag 54, Belopp

Valfri. Finns i dynamiska QR:er (handlaren har förifyllt det), saknas i statiska (du anger belopp i din app).

Tags 55-57, Dricks / serviceavgift

Valfri. 55 anger om en dricksprompt ska visas; 56/57 bär ett fast belopp respektive procentsats.

Tag 58, Land

ISO 3166-1 alfa-2 landskod. Användbart när betalningsappar stöder gränsöverskridande transaktioner.

Tag 59, Handlarens namn

Upp till 25 tecken. Det här är fältet din plånboksapp visar som "betala till". Angriparen kan sätta vilket namn som helst här.

Tag 60, Handlarens stad

Upp till 15 tecken. Var handlaren är belägen.

Tag 61, Postnummer

Valfritt men användbart för bedrägeridetektering: en US-handlare vars postnummer inte matchar deras stad är misstänkt.

Tag 62, Ytterligare datafält

Sub-TLV. Inuti: fakturanummer, mobilnummer, butiksetikett, lojalitetsnummer, referensetikett, syfte.

Tag 63, CRC-kontrollsumma

CRC-16/CCITT-FALSE över allt föregående (inklusive “6304”-headern i CRC TLV:n). Om detta inte stämmer har QR-koden ändrats eller skadats.

Klistermärkesbytet, global QR-bedrägeri nr 1

Tekniken är deprimerande enkel:

Angriparen skriver ut en QR som pekar på sitt eget betalningskonto.
De lägger den utskrivna QR:en på ett klistermärke (eller skriver ut den direkt på självhäftande papper).
De går igenom en marknad, restaurangområde eller parkeringszon och klistrar sin QR ovanpå den legitima.
Varje kund som skannar betalar angriparen.

Handlaren märker ingenting förrän dagens avräkning visar att intäkterna är borta.

Bedrägeriet har dokumenterats i varje land där mobila betalningar är utbredda.

Hur man verifierar en betalnings-QR innan man betalar

Vad vår skanner visar dig:

Handlarens namn + stad + land, matchar detta butiksskyltarna?
Valuta + belopp, matchar beloppet i QR:en notan?
Statisk kontra dynamisk, om det är statisk ber din plånbok dig ange belopp manuellt.
MCC-kategori, är handelskategorikoden konsekvent med vad du ser?
Nationellt system, Pix, UPI, PromptPay, osv. igenkänt från namnrymds-GUID:et.
CRC-valideringsresultat, om ogiltigt har QR:en ändrats eller skadats.
Mottagarens kontoinformation, Pix-nyckeln, UPI VPA, PromptPay-ID, osv.

Fysiska ledtrådar att inspektera innan du skannar:

Klistermärket lossnar i hörnen? Nytt och möjligen tillagt av en angripare.
Klistermärket är LAGT OVANPÅ ett annat klistermärke? Möjligt byte.
QR utskriven på billigt papper tejpat över handlarens märkta QR? Nästan säkert byte.
QR placerad där handlaren kanske inte kontrollerar ofta (baksidan av en parkometer, under ett bord)?

Landsspecifika system vi identifierar

Vår analysator känner igen landtaggen och märker utslaget med det lokala schemanamnet när ett sådant gäller. Täcker för närvarande 54 länder inklusive alla de stora direktbetalningssystemen. Se standardhubben för den fullständiga listan med per-schemauppgifter.

Relaterat

Skanna innan du betalar

Lägg in QR:en i vår skanner. Utslaget visar utfärdande delstat, körkortsklass, restriktioner, full adress och döljer automatiskt känsliga fält.

Öppna skannern →