What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

کیا یہ تاجر ادائیگی QR ادا کرنے کے لیے محفوظ ہے؟

ریستوران کی میز یا پارکنگ میٹر یا بازار اسٹال پر QR تقریباً ہمیشہ EMVCo کے TLV فارمیٹ پر چلتی ہے۔ اس میں تاجر نام، شہر، ملک، کرنسی، اختیاری رقم، اور CRC-16 چیکسم ہے جو پے لوڈ تبدیل ہو تو ناکام ہو جاتا ہے۔ اسٹیکر-سواپ حملہ — حقیقی تاجر کی QR کو حملہ آور کی QR سے ڈھانپنا — دنیا بھر میں سب سے عام QR دھوکہ ہے۔ ادائیگی سے پہلے QR ڈی کوڈ کرنا آپ کو بتاتا ہے کہ آپ واقعی کسے ادا کر رہے ہیں۔

تاجر QR اسکین کریں → تمام معیارات →

فارمیٹ کیا ہے

معیار EMVCo QR Code Specification ہے جو اسی EMVCo کنسورشیم نے شائع کیا جس نے چپ-اینڈ-پن کارڈز بنائے۔ دو اقسام زیادہ تر فارمیٹ شیئر کرتی ہیں:

MPM (Merchant-Presented Mode) — تاجر QR دکھاتا ہے، آپ اسکین کر کے ادائیگی کرتے ہیں۔ یہی آپ ریستوران، بازار اسٹالز، اور پارکنگ میٹروں پر دیکھتے ہیں۔
CPM (Consumer-Presented Mode) — آپ کا والٹ QR دکھاتا ہے، تاجر اسے اسکین کرتا ہے۔ کم عام؛ کچھ مینڈ چیک آؤٹ اور ٹرانزٹ کرایہ گیٹس پر استعمال۔

تقریباً ہر ملک کی فوری ادائیگی اسکیم EMVCo MPM کے اوپر بنی ہے جس میں کچھ ملک-مخصوص ٹیگ لگائے گئے ہیں:

Pix (برازیل) — لین دین کی تعداد کے اعتبار سے دنیا میں سب سے بڑا
UPI (ہندوستان) — صارفین کی تعداد کے اعتبار سے دنیا میں سب سے بڑا
PromptPay (تھائی لینڈ) · PayNow (سنگاپور) · DuitNow (ملیشیا) · QRIS (انڈونیشیا)
Bizum (اسپین) · Swish (سویڈن) · BLIK (پولینڈ) · MB WAY (پرتگال)
Wero (EU کثیر-ملکی) اور درجنوں مزید — ہمارے تجزیہ کار کیٹلاگ میں 54 ممالک

فارمیٹ Tag-Length-Value متن ہے، کوئی انکرپشن نہیں — کسی بھی QR اسکینر سے ڈی کوڈ قابل۔ تاجر کی شناخت سادہ متن میں انکوڈ ہے اور یہی آپ کا والٹ ایپ دکھاتا ہے۔

تاجر ادائیگی QR کا ڈھانچہ

ہر EMVCo پے لوڈ 000201 (Payload Format Indicator) سے شروع ہوتا ہے۔ اس کے بعد TLV ریکارڈز کا ایک سلسلہ ہے — دو حرفی ٹیگ، دو ہندسہ لمبائی، اس لمبائی کی قدر — بار بار۔

ٹیگ 01، آغاز کا نقطہ

11 = جامد QR (دوبارہ قابل استعمال — آپ رقم خود داخل کریں)۔
12 = متحرک QR (یک بار — رقم تاجر POS نے پہلے سے بھری)۔

ٹیگز 26-51، تاجر اکاؤنٹ معلومات

ملک-مخصوص وصول کنندہ شناخت کنندہ۔ Pix Key (CPF/CNPJ/ای میل/فون/EVP UUID)، UPI ورچوئل پیمنٹ ایڈریس، PromptPay فون یا قومی ID، وغیرہ۔

ٹیگ 52، تاجر زمرہ کوڈ (MCC)

ISO 18245 4 ہندسہ زمرہ۔ 5812 = ریستوران، 5411 = گروسری، 7011 = لاجنگ، 5541 = گیس اسٹیشن، وغیرہ۔

ٹیگ 53، کرنسی

ISO 4217 عددی کوڈ۔ 840 = USD، 978 = EUR، 826 = GBP، 986 = BRL (برازیلی ریال)، 356 = INR (ہندوستانی روپیہ)۔

ٹیگ 54، رقم

اختیاری۔ متحرک QRs میں موجود (تاجر نے پہلے سے بھری)، جامد QRs میں غائب (آپ خود داخل کریں)۔

ٹیگز 55-57، ٹپ/سہولت فیس

اختیاری۔ 55 اشارہ کرتا ہے کہ آیا ٹپ پرامپٹ ظاہر ہو؛ 56/57 مقررہ رقم یا فیصد سہولت فیس رکھتے ہیں۔

ٹیگ 58، ملک

ISO 3166-1 alpha-2 ملک کوڈ۔ جب ادائیگی ایپس سرحد پار منتقلی کی حمایت کریں تو مفید۔

ٹیگ 59، تاجر نام

25 حروف تک۔ یہ وہ فیلڈ ہے جو آپ کا والٹ ایپ "آپ ___ کو ادا کر رہے ہیں" کے طور پر دکھاتا ہے۔ تاجر یہاں جو چاہے ڈال سکتا ہے۔ اسٹیکر-سواپ کرنے والا حملہ آور یہاں جو سٹرنگ چاہے ڈالتا ہے۔

ٹیگ 60، تاجر شہر

15 حروف تک۔ تاجر کہاں واقع ہے۔

ٹیگ 61، پوسٹل کوڈ

اختیاری لیکن دھوکہ کا پتہ لگانے کے لیے مفید: امریکی تاجر جس کا پوسٹل کوڈ شہر سے میل نہیں کھاتا — یہ فلیگ ہے۔

ٹیگ 62، اضافی ڈیٹا فیلڈ

Sub-TLV۔ اندر: بل نمبر، موبائل نمبر، اسٹور لیبل، لائلٹی نمبر، حوالہ لیبل، گاہک لیبل، ٹرمینل لیبل، لین دین کا مقصد۔

ٹیگ 63، CRC چیکسم

CRC-16/CCITT-FALSE سب سے پہلے (CRC TLV ہیڈر "6304" سمیت) پر۔ اگر یہ میل نہیں کھاتا، تو QR تبدیل یا خراب ہو چکی ہے۔

اسٹیکر-سواپ حملہ — عالمی QR دھوکہ نمبر 1

طریقہ کار افسوسناک حد تک آسان ہے:

حملہ آور اپنے ادائیگی اکاؤنٹ کی طرف اشارہ کرنے والی QR پرنٹ کرتا ہے۔
وہ پرنٹ شدہ QR کو اسٹیکر پر لگاتا ہے (یا سیدھے چپکنے والے کاغذ پر پرنٹ کرتا ہے)۔
وہ بازار، ریستوران ضلع، یا پارکنگ-میٹر زون سے گزرتا ہے اور سواپ-QR کو جائز تاجر QR کے اوپر چپکا دیتا ہے۔
ہر وہ گاہک جو اسکین کرتا ہے حملہ آور کو ادا کرتا ہے۔

تاجر اس وقت تک نہیں دیکھتا جب تک دن کے حساب میں کمی نظر نہیں آتی۔ گاہک نہیں دیکھتا کیونکہ والٹ کہتا ہے "آپ نے ادا کیا"، اور حملہ آور ٹیگ 59 میں تاجر کا اصل نام ڈال سکتا ہے۔ یا اس کے قریب ("Joe's Pizz4"، "Joe's Pizzeria 2") — معمولی فرق جو مصروف گاہک نہیں پکڑتا۔

یہ دھوکہ ہر اس ملک میں دستاویز کیا گیا ہے جہاں موبائل ادائیگیاں عام ہیں: برازیل (Pix اسٹیکر-سواپ پارکنگ میٹروں پر)، ہندوستان (UPI اسٹیکر-سواپ پیٹرول پمپوں پر)، چین (WeChat Pay اسٹیکر-سواپ دکان کی کھڑکیوں پر)، سنگاپور (PayNow ہاکر سینٹرز پر)، UK (عطیہ باکس QR-سواپ)، US (آسٹن، سان فرانسسکو، LA میں پارکنگ میٹر)۔

ادائیگی سے پہلے ادائیگی QR کیسے تصدیق کریں

ہمارا اسکینر آپ کو کیا دکھاتا ہے:

تاجر نام + شہر + ملک — کیا یہ اس اسٹور سے میل کھاتا ہے جس کے سامنے آپ کھڑے ہیں؟ احتیاط سے پڑھیں — اسٹیکر-سواپ دھوکہ اکثر قریبی میل استعمال کرتا ہے۔
کرنسی + رقم — کیا QR میں رقم بل سے میل کھاتی ہے؟
جامد بمقابلہ متحرک — اگر جامد ہے تو والٹ آپ سے رقم داخل کرنے کو کہے گا۔ اگر متحرک ہے تو رقم طے ہے۔
MCC زمرہ — کیا تاجر زمرہ کوڈ وہی ہے جو وہ فروخت کرتے ہیں؟ MCC 7995 (جوا) والی ریستوران QR مشکوک ہے۔
قومی اسکیم — Pix، UPI، PromptPay وغیرہ ملک ٹیگ سے پہچانی جاتی ہیں۔
CRC توثیق نتیجہ — اگر غلط ہے تو QR تبدیل یا خراب ہو چکی ہے۔ ادائیگی نہ کریں۔
وصول کنندہ اکاؤنٹ معلومات — Pix کی، UPI VPA، PromptPay ID وغیرہ جس کی طرف پیسہ جائے گا۔ اگر پہلے اس تاجر کو ادا کر چکے ہیں تو کیا یہ میل کھاتا ہے؟

اسکین سے پہلے جانچنے کے لیے جسمانی اشارے:

اسٹیکر کونوں پر اُکھڑ رہا ہے؟ حال ہی میں لگایا گیا اور شاید حملہ آور نے لگایا۔
اسٹیکر دوسرے اسٹیکر کے اوپر رکھا ہوا؟ ممکنہ سواپ۔
تاجر کی برانڈ شدہ پرنٹ QR کے اوپر سستے کاغذ پر ٹیپ شدہ QR؟ تقریباً یقینی دھوکہ۔
QR ایسی جگہ لگی جہاں تاجر اکثر نہیں دیکھتا (پارکنگ میٹر کے پیچھے، کاؤنٹر کے پیچھے)؟ زیادہ سواپ خطرہ۔

ہم جو ملک-مخصوص اسکیمیں شناخت کرتے ہیں

ہمارا تجزیہ کار ملک ٹیگ کو پہچانتا ہے اور جب مقامی اسکیم لاگو ہو تو فیصلے کو مقامی اسکیم نام کے ساتھ لیبل کرتا ہے۔ فی الحال تمام بڑے فوری ادائیگی نظاموں سمیت 54 ممالک کا احاطہ۔ فی اسکیم تفصیلات کے ساتھ مکمل فہرست کے لیے معیارات ہب دیکھیں۔

ادائیگی سے پہلے اسکین کریں

QR ہمارے اسکینر میں ڈالیں۔ فیصلہ تاجر، شہر، ملک، رقم، اور CRC چیکسم کی درستگی دکھاتا ہے۔ چند سیکنڈ لگتے ہیں۔ شام کے کھانے یا پورے ماہ کے پارکنگ بجٹ کی بچت ہو سکتی ہے۔

اسکینر کھولیں →