What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

QR ชำระเงินแก่ร้านค้านี้ปลอดภัยที่จะจ่ายไหม?

QR บนโต๊ะในร้านอาหาร มิเตอร์จอดรถ หรือแผงตลาดเกือบทุกแห่งทำงานบนกรอบ EMVCo

สแกน QR ร้านค้า → มาตรฐานทั้งหมด →

รูปแบบคืออะไร

มาตรฐานคือ EMVCo QR Code Specification เผยแพร่โดย EMVCo เดียวกัน

MPM (Merchant-Presented Mode) ร้านค้าแสดง QR คุณสแกนและชำระเงิน
CPM (Consumer-Presented Mode) wallet ของคุณแสดง QR ร้านค้าสแกน

เกือบทุกรูปแบบการชำระเงินทันทีของประเทศสร้างบนพื้นฐาน EMVCo MPM

Pix (บราซิล) ใหญ่สุดของโลกโดยปริมาณธุรกรรม
UPI (อินเดีย) ใหญ่สุดของโลกโดยจำนวนผู้ใช้
PromptPay (ไทย) · PayNow (สิงคโปร์) · DuitNow (มาเลเซีย) · QRIS (อินโดนีเซีย)
Bizum (สเปน) · Swish (สวีเดน) · BLIK (โปแลนด์) · MB WAY (โปรตุเกส)
Wero (EU หลายประเทศ) และอีกหลายสิบรายการ มูลค่า 54 ประเทศในฐานข้อมูลของเรา

รูปแบบคือ Tag-Length-Value text ไม่เข้ารหัส สามารถถอดรหัสได้ด้วยเครื่องสแกน QR ใดก็ได้

โครงสร้างของ QR ชำระเงินแก่ร้านค้า

ทุก payload EMVCo เริ่มต้นด้วย 000201 (Payload Format Indicator) สิ่งที่ตามมา:

แท็ก 01, Point of Initiation

11 = QR แบบ static (ใช้ซ้ำได้ คุณป้อนจำนวนเอง)
12 = dynamic (จำนวนที่ตั้งไว้ล่วงหน้า)

แท็ก 26-51, Merchant Account Info

ตัวระบุผู้รับเงินเฉพาะประเทศ คีย์ Pix (CPF / CNPJ / อีเมล / โทรศัพท์ / EVP UUID)

แท็ก 52, Merchant Category Code (MCC)

หมวดหมู่ 4 หลัก ISO 18245 5812 = ร้านอาหาร, 5411 = ร้านขายของชำ, 7011 = ที่พัก

แท็ก 53, สกุลเงิน

รหัสตัวเลข ISO 4217 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL, 356 = INR, 764 = THB

แท็ก 54, จำนวน

เป็นทางเลือก มีใน QR แบบ dynamic (ร้านค้ากรอกล่วงหน้า) ไม่มีใน QR แบบ static

แท็ก 55-57, ทิป / ค่าธรรมเนียม

เป็นทางเลือก 55 ระบุว่าควรแสดงพรอมต์ทิป; 56 / 57 บรรจุจำนวนคงที่หรือเปอร์เซ็นต์

แท็ก 58, ประเทศ

รหัสประเทศ alpha-2 ISO 3166-1 มีประโยชน์เมื่อแอปชำระเงินรองรับการโอนข้ามพรมแดน

แท็ก 59, ชื่อร้านค้า

สูงสุด 25 ตัวอักษร นี่คือฟิลด์ที่แอป wallet แสดง ว่า 'คุณกำลังจ่ายให้'

แท็ก 60, เมืองร้านค้า

สูงสุด 15 ตัวอักษร ที่ตั้งของร้านค้า

แท็ก 61, รหัสไปรษณีย์

เป็นทางเลือกแต่มีประโยชน์สำหรับการตรวจจับการฉ้อโกง

แท็ก 62, ฟิลด์ข้อมูลเพิ่มเติม

Sub-TLV ภายใน: หมายเลขใบแจ้งหนี้ หมายเลขมือถือ ป้ายร้านค้า หมายเลขความภักดี

แท็ก 63, CRC checksum

CRC-16/CCITT-FALSE เหนือทุกอย่างที่นำหน้า (รวมถึงส่วนหัว "6304" ของ CRC TLV เอง) หากไม่ตรงกัน แสดงว่า QR ถูกแก้ไขหรือเสียหาย

การโจมตีสลับสติ๊กเกอร์ การฉ้อโกง QR อันดับ 1 ของโลก

เทคนิคนี้น่าเศร้าอย่างน่าตกใจ:

ผู้โจมตีพิมพ์ QR ที่ชี้ไปยังบัญชีชำระเงินของตนเอง
พวกเขาพิมพ์ QR บนสติ๊กเกอร์ (หรือพิมพ์บนกระดาษติดได้โดยตรง)
พวกเขาเดินผ่านตลาด เขตร้านอาหาร หรือโซนมิเตอร์จอดรถ แล้วแปะสติ๊กเกอร์สลับ
ลูกค้าทุกคนที่สแกนจ่ายเงินให้ผู้โจมตี

ร้านค้าไม่สังเกตจนกว่าการกระทบยอดรายวันแสดงว่ารายรับขาดหาย

การฉ้อโกงนี้ถูกบันทึกในทุกประเทศที่การชำระเงินผ่านมือถือแพร่หลาย: บราซิล

วิธีตรวจสอบ QR ชำระเงินก่อนจ่าย

สิ่งที่เครื่องสแกนของเราแสดงคุณ:

ชื่อร้านค้า + เมือง + ประเทศ ตรงกับร้านค้าที่คุณอยู่จริงไหม?
สกุลเงิน + จำนวน จำนวนใน QR ตรงกับใบเสร็จไหม?
Static vs dynamic ถ้า static wallet จะขอให้คุณป้อนจำนวน
หมวดหมู่ MCC รหัสหมวดหมู่ร้านค้าสอดคล้องกับสิ่งที่พวกเขาขายไหม?
รูปแบบระดับชาติ Pix, UPI, PromptPay ฯลฯ ระบุจากแท็กประเทศ
ผลการตรวจสอบ CRC ถ้าไม่ถูกต้อง QR ถูกดัดแปลงหรือเสียหาย
ข้อมูลบัญชีผู้รับเงิน คีย์ Pix, UPI VPA, PromptPay ID ฯลฯ

เบาะแสทางกายภาพที่ควรตรวจสอบก่อนสแกน:

สติ๊กเกอร์ลอกที่มุม? ล่าสุดและอาจถูกเพิ่มโดยผู้โจมตี
สติ๊กเกอร์วางทับสติ๊กเกอร์อื่น? อาจมีการสลับ
QR พิมพ์บนกระดาษราคาถูกแปะทับ QR ที่พิมพ์ของร้านค้า? เกือบแน่นอนว่าเป็นของปลอม
QR โพสต์ในที่ที่ร้านค้าอาจไม่ตรวจบ่อย (ด้านหลังมิเตอร์จอดรถ)?

รูปแบบเฉพาะประเทศที่เราระบุ

ระบบวิเคราะห์ของเราจดจำ country tag และระบุชื่อระบบท้องถิ่นในผลการตัดสินเมื่อเกี่ยวข้อง ขณะนี้รองรับ 54 ประเทศรวมถึงระบบการชำระเงินทันทีหลักทั้งหมด ดูรายละเอียดต่อระบบได้ที่ ศูนย์มาตรฐาน

ที่เกี่ยวข้อง

สแกนก่อนชำระเงิน

วาง QR ลงในเครื่องสแกนของเรา คำตัดสินแสดงร้านค้า เมือง ประเทศ จำนวน สกุลเงิน

เปิดเครื่องสแกน →