这个商户付款QR安全吗？

格式说明

该标准为EMVCo QR码规范，由定义芯片加密码卡的同一EMVCo联盟发布。两种模式共享大部分格式：

• MPM（商户出示模式），商户展示QR，您扫码付款。这是您在餐厅、市场摊位和停车计时器上看到的方式。
• CPM（消费者出示模式），您的钱包显示QR，商户扫描。较少见；用于部分有人值守的收银台和交通闸机。

几乎每个国家的即时支付方案都建立在EMVCo MPM之上，在其基础上叠加少量国家特定标签：

• Pix（巴西），按交易量计全球最大
• UPI（印度），按用户数量计全球最大
• PromptPay（泰国）· PayNow（新加坡）· DuitNow（马来西亚）· QRIS（印度尼西亚）
• Bizum（西班牙）· Swish（瑞典）· BLIK（波兰）· MB WAY（葡萄牙）
• Wero（欧盟多国）及数十种其他方案，我们的分析器目录涵盖54个国家

格式为标签-长度-值文本，无加密，任何QR扫描器均可解码。商户身份以明文编码，您的钱包应用就是据此显示收款方信息的。

商户付款QR的结构解析

每个EMVCo有效载荷以000201（有效载荷格式指示符）开头。其后是一系列TLV记录：两字符标签、两位长度、对应长度的值，循环重复。

贴纸替换攻击——全球QR欺诈头号手段

手法令人沮丧地简单：

1. 攻击者打印一个指向自己付款账户的QR。
2. 将打印的QR制成贴纸（或直接打印在不干胶纸上）。
3. 穿行于市场、餐厅区或停车计时器区域，将替换QR贴在合法商户QR上方。
4. 每位扫码顾客都在向攻击者付款。

商户要到当天对账时才发现收入短缺。顾客不会察觉，因为他们的钱包显示"您已付款给"，而攻击者可以在标签59中填写商户的真实名称，或与之高度相似的名称（"乔氏披萨4号"、"乔氏披萨2"），稍有不同但忙碌的顾客不会注意到。

这种欺诈在所有移动支付普及的国家均有记录：巴西（停车计时器处的Pix贴纸替换）、印度（加油站的UPI贴纸替换）、中国（店铺橱窗上的微信支付贴纸替换）、新加坡（小贩中心的PayNow）、英国（捐款箱QR替换）、美国（奥斯汀、旧金山、洛杉矶的停车计时器）。

付款前如何验证付款QR

我们的扫描器向您显示的内容：

• 商户名称+城市+国家——这是否与您实际站立的店面相符？请仔细阅读，贴纸替换欺诈常使用高度相似的名称。
• 货币+金额——QR中的金额是否与账单一致？
• 静态还是动态——如果是静态，您的钱包会要求您输入金额。如果是动态，金额已锁定。
• MCC类别——商户类别代码与其经营内容是否一致？MCC为7995（赌博）的餐厅QR令人起疑。
• 国家方案——从国家标签识别Pix、UPI、PromptPay等。
• CRC校验结果——如果无效，说明QR已被篡改或损坏。请勿付款。
• 收款账户信息——款项将路由到的Pix密钥、UPI VPA、PromptPay ID等。如果您曾向该商户付款，信息是否一致？

扫描前检查的物理线索：

• 贴纸边角翘起？可能是近期添加的，可能出自攻击者之手。
• 贴纸叠放在另一张贴纸上？可能已被替换。
• QR打印在廉价纸上并覆盖商户品牌印制QR之上？几乎可以确定是欺诈。
• QR贴在商户不常检查的位置（停车计时器背面、柜台后方）？被替换的风险更高。

我们识别的国家特定方案

我们的分析器识别国家标签，并在适用时以本地方案名称标注结果。目前覆盖54个国家，包括所有主要即时支付系统。请访问标准中心查看完整列表及各方案详情。

相关内容

• 2026年需警惕的QR诈骗
• 我们检查的所有QR标准
• EMVCo生成器参考 →
• Pix（巴西）→
• UPI（印度）→
• 瑞士QR账单（非EMV）→