What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

QR thanh toán người bán này có an toàn để thanh toán không?

QR trên bàn nhà hàng, đồng hồ đỗ xe hay quầy chợ hầu như luôn chạy trên định dạng TLV của EMVCo. Nó mang tên người bán, thành phố, quốc gia, tiền tệ, số tiền tùy chọn và giá trị kiểm tra CRC-16 sẽ thất bại nếu tải trọng bị thay đổi. Cuộc tấn công tráo đổi nhãn dán — phủ QR thực của người bán bằng QR của kẻ tấn công — là gian lận QR phổ biến nhất toàn cầu. Giải mã QR trước khi thanh toán cho bạn thấy bạn thực sự đang trả tiền cho ai.

Quét QR người bán → Tất cả tiêu chuẩn →

Định dạng là gì

Tiêu chuẩn là Thông số kỹ thuật Mã QR EMVCo, được công bố bởi cùng tập đoàn EMVCo đã định nghĩa thẻ chip. Hai dạng chia sẻ hầu hết định dạng:

MPM (Chế độ Người bán Trình bày) — người bán hiển thị QR, bạn quét và thanh toán. Đây là loại bạn thấy tại nhà hàng, quầy chợ và đồng hồ đỗ xe.
CPM (Chế độ Người tiêu dùng Trình bày) — ví của bạn hiển thị QR, người bán quét. Ít phổ biến hơn; được dùng ở một số quầy có nhân viên và cổng thu phí giao thông.

Hầu hết các phương thức thanh toán tức thì của mỗi quốc gia được xây dựng trên EMVCo MPM với một số thẻ theo quốc gia được thêm vào:

Pix (Brazil), lớn nhất thế giới theo khối lượng giao dịch
UPI (Ấn Độ), lớn nhất thế giới theo số lượng người dùng
PromptPay (Thái Lan) · PayNow (Singapore) · DuitNow (Malaysia) · QRIS (Indonesia)
Bizum (Tây Ban Nha) · Swish (Thụy Điển) · BLIK (Ba Lan) · MB WAY (Bồ Đào Nha)
Wero (EU đa quốc gia) và hàng chục phương thức khác, đủ 54 quốc gia trong danh mục bộ phân tích của chúng tôi

Định dạng là Tag-Length-Value văn bản, không mã hóa, có thể giải mã bởi bất kỳ máy quét QR nào. Danh tính người bán được mã hóa dưới dạng văn bản thuần và là nội dung ứng dụng ví của bạn hiển thị.

Giải phẫu QR thanh toán người bán

Mọi tải trọng EMVCo đều bắt đầu bằng 000201 (Chỉ báo Định dạng Tải trọng). Tiếp theo là một chuỗi bản ghi TLV — thẻ hai ký tự, độ dài hai chữ số, giá trị theo độ dài đó — lặp đi lặp lại.

Thẻ 01, Điểm Khởi tạo

11 = QR tĩnh (có thể tái sử dụng, bạn tự nhập số tiền).
12 = QR động (một lần, số tiền được điền trước bởi POS của người bán).

Thẻ 26-51, Thông tin Tài khoản Người bán

Định danh người nhận theo quốc gia. Khóa Pix (CPF / CNPJ / email / điện thoại / EVP UUID), Địa chỉ Thanh toán Ảo UPI, PromptPay điện thoại hoặc ID quốc gia, v.v.

Thẻ 52, Mã Danh mục Người bán (MCC)

Danh mục 4 chữ số ISO 18245. 5812 = nhà hàng, 5411 = tạp hóa, 7011 = chỗ ở, 5541 = trạm xăng, v.v.

Thẻ 53, Tiền tệ

Mã số ISO 4217. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (real Brazil), 356 = INR (rupee Ấn Độ).

Thẻ 54, Số tiền

Tùy chọn. Có trong QR động (người bán đã điền trước), vắng mặt trong QR tĩnh (bạn tự nhập).

Thẻ 55-57, Tiền boa / Phí tiện lợi

Tùy chọn. 55 cho biết có nên hiển thị lời nhắc tiền boa không; 56 / 57 mang phí tiện lợi cố định hoặc theo phần trăm.

Thẻ 58, Quốc gia

Mã quốc gia ISO 3166-1 alpha-2. Hữu ích khi ứng dụng thanh toán hỗ trợ chuyển khoản xuyên biên giới.

Thẻ 59, Tên Người bán

Tối đa 25 ký tự. Đây là trường ứng dụng ví của bạn hiển thị là "bạn đang thanh toán cho ___". Người bán kiểm soát hoàn toàn nội dung ở đây. Kẻ tấn công tạo tráo đổi nhãn dán có thể đặt bất kỳ chuỗi nào vào đây.

Thẻ 60, Thành phố Người bán

Tối đa 15 ký tự. Nơi người bán đặt trụ sở.

Thẻ 61, Mã bưu chính

Tùy chọn nhưng hữu ích cho phát hiện gian lận: người bán Mỹ có mã bưu chính không khớp thành phố là một dấu hiệu đáng ngờ.

Thẻ 62, Trường Dữ liệu Bổ sung

TLV phụ. Bên trong: số hóa đơn, số điện thoại di động, nhãn cửa hàng, số thẻ thành viên, nhãn tham chiếu, nhãn khách hàng, nhãn thiết bị đầu cuối, mục đích giao dịch.

Thẻ 63, Giá trị kiểm tra CRC

CRC-16/CCITT-FALSE trên mọi thứ trước đó (bao gồm cả header "6304" của CRC TLV). Nếu không khớp, QR đã bị thay đổi hoặc hỏng.

Cuộc tấn công tráo đổi nhãn dán — gian lận QR số 1 toàn cầu

Kỹ thuật này đơn giản đến đáng buồn:

Kẻ tấn công in một QR trỏ đến tài khoản thanh toán của chúng.
Chúng in QR đó lên nhãn dán (hoặc in trực tiếp trên giấy tự dán).
Chúng đi qua chợ, khu phố nhà hàng hoặc khu vực đồng hồ đỗ xe, và dán QR tráo đổi lên QR hợp lệ của người bán.
Mọi khách hàng quét đều trả tiền cho kẻ tấn công.

Người bán không nhận ra cho đến khi quyết toán cuối ngày cho thấy thu nhập bị thiếu. Khách hàng không nhận ra vì ví của họ nói "bạn đã thanh toán" — và kẻ tấn công có thể đặt tên thật của người bán vào thẻ 59. Hoặc gần đúng ("Joe's Pizz4", "Joe's Pizzeria 2") — những biến thể nhỏ mà khách hàng bận rộn không để ý.

Gian lận này đã được ghi lại ở mọi quốc gia nơi thanh toán di động phổ biến: Brazil (tráo đổi nhãn dán Pix tại đồng hồ đỗ xe), Ấn Độ (tráo đổi nhãn dán UPI tại trạm xăng), Trung Quốc (tráo đổi nhãn dán WeChat Pay trên cửa hàng), Singapore (PayNow tại trung tâm thức ăn đường phố), Anh (tráo đổi QR hộp quyên góp), Mỹ (đồng hồ đỗ xe ở Austin, San Francisco, LA).

Cách xác minh QR thanh toán trước khi thanh toán

Những gì máy quét của chúng tôi hiển thị cho bạn:

Tên + thành phố + quốc gia người bán — liệu có khớp với cửa hàng bạn đang đứng trước không? Đọc kỹ — gian lận tráo đổi nhãn dán thường dùng các chuỗi gần giống.
Tiền tệ + số tiền — số tiền trong QR có khớp với hóa đơn không?
Tĩnh so với động — nếu tĩnh, ví của bạn sẽ yêu cầu bạn nhập số tiền. Nếu động, số tiền đã được khóa.
Danh mục MCC — mã danh mục người bán có nhất quán với sản phẩm họ bán không? QR nhà hàng với MCC 7995 (cờ bạc) là đáng ngờ.
Phương thức quốc gia — Pix, UPI, PromptPay, v.v. được nhận dạng từ thẻ quốc gia.
Kết quả xác thực CRC — nếu không hợp lệ, QR đã bị thay đổi hoặc hỏng. Đừng thanh toán.
Thông tin tài khoản người nhận — khóa Pix, UPI VPA, PromptPay ID, v.v. mà tiền sẽ được chuyển đến. Nếu bạn đã từng thanh toán cho người bán này, liệu có khớp không?

Các dấu hiệu vật lý cần kiểm tra trước khi quét:

Nhãn dán đang bong ở các góc? Gần đây và có thể được kẻ tấn công thêm vào.
Nhãn dán được đặt ĐÈ lên nhãn dán khác? Có thể đã bị tráo đổi.
QR được in trên giấy rẻ tiền dán lên QR in có thương hiệu của người bán? Hầu như chắc chắn là gian lận.
QR được đặt ở nơi người bán có thể không kiểm tra thường xuyên (mặt sau đồng hồ đỗ xe, phía sau quầy)? Rủi ro tráo đổi cao hơn.

Các phương thức theo quốc gia chúng tôi nhận dạng

Bộ phân tích của chúng tôi nhận dạng thẻ quốc gia và gắn nhãn kết quả với tên phương thức địa phương khi có một phương thức áp dụng. Hiện tại bao gồm 54 quốc gia trong đó có tất cả các hệ thống thanh toán tức thì lớn. Xem trung tâm tiêu chuẩn để có danh sách đầy đủ với chi tiết theo phương thức.

Liên quan

Quét trước khi thanh toán

Thả QR vào máy quét của chúng tôi. Kết quả hiển thị người bán, thành phố, quốc gia, số tiền, tiền tệ và liệu giá trị kiểm tra CRC có hợp lệ không. Mất vài giây. Có thể giúp bạn tiết kiệm chi phí bữa tối, hoặc cả tháng ngân sách đỗ xe.

Mở máy quét →