What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Bu tüccar ödeme QR'si ödemek için güvenli mi?

Bir restoran masasındaki, otopark sayacındaki veya market tezgahındaki QR neredeyse her zaman EMVCo'nun TLV biçiminde çalışır. Tüccar adını, şehri, ülkeyi, para birimini, isteğe bağlı tutarı ve değiştirilirse başarısız olan bir CRC-16 sağlama toplamını taşır. Sticker değiştirme saldırısı, gerçek bir tüccarın QR'sini saldırganın QR'siyle kaplamak, dünya genelinde en yaygın QR dolandırıcılığıdır. Ödemeden önce QR'yi çözümlemek kime gerçekten ödediğinizi gösterir.

Tüccar QR'si tara → Tüm standartlar →

Format nedir

Standart, çip kartları tanımlayan aynı EMVCo konsorsiyumu tarafından yayımlanan EMVCo QR Kodu Spesifikasyonudur. Biçimin büyük bölümünü paylaşan iki türü vardır:

MPM (Tüccar Sunumlu Mod), tüccar QR'yi gösterir, siz tararsınız ve ödersiniz. Restoranlarda, pazarlarda ve otopark sayaçlarında gördüğünüz budur.
CPM (Tüketici Sunumlu Mod), cüzdanınız QR'yi gösterir, tüccar tarar. Daha az yaygın; bazı kasalı ödemelerde ve toplu taşıma bilet kapılarında kullanılır.

Neredeyse her ülkenin anlık ödeme şeması, üstüne birkaç ülkeye özgü etiket eklenerek EMVCo MPM üzerine inşa edilmiştir:

Pix (Brezilya), işlem hacmi açısından dünyanın en büyüğü
UPI (Hindistan), kullanıcı sayısı açısından dünyanın en büyüğü
PromptPay (Tayland) · PayNow (Singapur) · DuitNow (Malezya) · QRIS (Endonezya)
Bizum (İspanya) · Swish (İsveç) · BLIK (Polonya) · MB WAY (Portekiz)
Wero (çok ülkeli AB) ve çözümleyici kataloğumuzda yer alan 54 ülkenin onlarca şeması daha

Biçim Etiket-Uzunluk-Değer metnidir, şifreleme yoktur, herhangi bir QR tarayıcısıyla çözümlenebilir. Tüccar kimliği düz metin olarak kodlanmıştır ve cüzdan uygulamanızın gösterdiği budur.

Bir tüccar ödeme QR'sinin anatomisi

Her EMVCo yükü 000201 (Yük Biçim Göstergesi) ile başlar. Ardından gelen, iki karakterlik etiket, iki basamaklı uzunluk ve o uzunluktaki değerden oluşan TLV kayıtlarının tekrarıdır.

Etiket 01, Başlatma Noktası

11 = statik QR (tekrar kullanılabilir, tutarı kendiniz girersiniz).
12 = dinamik QR (tek seferlik, tutar tüccar POS sistemi tarafından önceden doldurulur).

Etiket 26-51, Tüccar Hesap Bilgisi

Ülkeye özgü alıcı tanımlayıcı. Pix Anahtarı (CPF / CNPJ / e-posta / telefon / EVP UUID), UPI Sanal Ödeme Adresi, PromptPay telefon veya ulusal kimlik vb.

Etiket 52, Tüccar Kategori Kodu (MCC)

ISO 18245 4 haneli kategori. 5812 = restoran, 5411 = bakkal, 7011 = konaklama, 5541 = benzin istasyonu vb.

Etiket 53, Para Birimi

ISO 4217 sayısal kodu. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (Brezilya reali), 356 = INR (Hindistan rupisi).

Etiket 54, Tutar

İsteğe bağlı. Dinamik QR'lerde bulunur (tüccar önceden doldurmuştur); statik QR'lerde bulunmaz (kendiniz girersiniz).

Etiket 55-57, Bahşiş / Kolaylık Ücreti

İsteğe bağlı. 55, bahşiş isteminin görünüp görünmeyeceğini belirtir; 56 / 57 sabit tutarlı veya yüzdelik kolaylık ücreti taşır.

Etiket 58, Ülke

ISO 3166-1 alfa-2 ülke kodu. Ödeme uygulamaları sınır ötesi transferi desteklediğinde kullanışlıdır.

Etiket 59, Tüccar Adı

En fazla 25 karakter. Cüzdan uygulamanızın "___ kişisine ödüyorsunuz" olarak gösterdiği alan budur. Tüccar buraya ne koyacağını tamamen kontrol eder. Sticker değiştirme yapan bir saldırgan istediği dizeyi buraya yazar.

Etiket 60, Tüccar Şehri

En fazla 15 karakter. Tüccarın konumlandığı yer.

Etiket 61, Posta Kodu

İsteğe bağlı ama sahtekarlık tespiti için kullanışlı: posta kodu şehirle eşleşmeyen ABD tüccarı bir işaret.

Etiket 62, Ek Veri Alanı

Alt-TLV. İçeride: fatura numarası, cep numarası, mağaza etiketi, sadakat numarası, referans etiketi, müşteri etiketi, terminal etiketi, işlem amacı.

Etiket 63, CRC sağlama toplamı

CRC TLV'nin "6304" başlığı dahil önceki her şeyin CRC-16/CCITT-FALSE değeri. Bu eşleşmiyorsa QR değiştirilmiş veya bozulmuştur.

Sticker değiştirme saldırısı, küresel QR dolandırıcılığı №1

Teknik üzücü derecede basittir:

Saldırgan, kendi ödeme hesabına yönlendiren bir QR basar.
Basılı QR'yi bir stikere koyar (veya doğrudan yapışkanlı kağıda basar).
Bir çarşı, restoran bölgesi veya otopark sayacı alanından geçerken değiştirme QR'sini meşru tüccar QR'sinin üstüne yapıştırır.
Tarayan her müşteri saldırgana ödeme yapar.

Tüccar, günlük mutabakatı 59. etikete saldırganın koyduğu herhangi bir dizeyi yerleştirebileceğini gösterene kadar fark etmez. Müşteri fark etmez çünkü cüzdanında "ödeme yaptınız" yazar ve saldırgan tüccarın gerçek adını kullanabilir. Ya da yakınını: "Joe's Pizz4", "Joe's Pizzeria 2" gibi meşgul bir müşterinin yakalamayacağı küçük varyasyonlar.

Dolandırıcılık, mobil ödemelerin yaygın olduğu her ülkede belgelenmiştir: Brezilya (otopark sayaçlarında Pix sticker değiştirme), Hindistan (benzin istasyonlarında UPI sticker değiştirme), Çin (dükkan camlarında WeChat Pay sticker değiştirme), Singapur (yemek alanlarında PayNow), Birleşik Krallık (bağış kutusu QR değiştirme), ABD (Austin, San Francisco, Los Angeles'ta otopark sayaçları).

Ödemeden önce ödeme QR'si nasıl doğrulanır

Tarayıcımızın gösterdikleri:

Tüccar adı + şehir + ülke, bu fiziksel olarak önünde durduğunuz mağazayla eşleşiyor mu? Dikkatle okuyun; sticker değiştirme dolandırıcılığı çoğunlukla yakın eşleşmeler kullanır.
Para birimi + tutar, QR'deki tutar faturayla eşleşiyor mu?
Statik veya dinamik, statikse cüzdanınız tutarı girmenizi isteyecektir. Dinamikse tutar sabitlenmiştir.
MCC kategorisi, tüccar kategori kodu sattıklarıyla tutarlı mı? MCC 7995 (kumar) olan bir restoran QR'si şüphelidir.
Ulusal şema, ülke etiketinden tanınan Pix, UPI, PromptPay vb.
CRC doğrulama sonucu, geçersizse QR değiştirilmiş veya bozulmuştur. Ödeme yapmayın.
Alıcı hesap bilgisi, paranın aktarılacağı Pix anahtarı, UPI VPA, PromptPay kimliği vb. Bu tüccarla daha önce ödeme yaptıysanız eşleşiyor mu?

Taramadan önce incelenmesi gereken fiziksel ipuçları:

Sticker köşelerden soyuluyor mu? Yeni yapıştırılmış olabilir ve bir saldırgan tarafından eklenmiş olabilir.
Sticker başka bir stikerin ÜSTÜNE mi yapıştırılmış? Olası bir değişim.
Tüccarın markalı QR'sinin üstüne bantlanmış ucuz kağıda basılı QR mı? Neredeyse kesinlikle dolandırıcılık.
QR, tüccarın sık kontrol etmeyebileceği bir yere mi asılmış (otopark sayacının arkası, tezgahın arkası)? Daha yüksek değiştirme riski.

Tanımladığımız ülkeye özgü şemalar

Çözümleyicimiz ülke etiketini tanır ve uygulanabilir bir yerel şema varsa karar üzerine yerel şema adını yazar. Şu an büyük anlık ödeme sistemlerini de kapsayan 54 ülkeyi destekliyoruz. Şema bazlı ayrıntılar için standartlar merkezine bakın.

İlgili

Ödemeden önce tarayın

QR'yi tarayıcımıza bırakın. Karar tüccara, şehre, ülkeye, tutara ve CRC sağlama toplamının geçerli olup olmadığını gösterir. Birkaç saniye sürer. Sizi bir akşam yemeğinin veya aylık park bütçesinin maliyetinden kurtarabilir.

Tarayıcıyı aç →