A mobil kapcsolóközpont MSC általában birtokolja az egyes előfizetők által a hívás létrehozásához használt titkosítási kulcsokat. Amikor az előfizető mozgásban van, egy átadási folyamat megkönnyíti az előfizető zökkenőmentes átmenetét a különböző rádiócellák között, miközben fenntartja a hívás előrehaladását.
Bizonyos esetekben az előfizető egyik cellából a másikba költözik, amelyet egy másik VLR kezel. Ebben az esetben az új VLR kezdetben nem rendelkezik a hitelesítési információkkal, amelyek megkönnyítenék a hívás megőrzését, ezért egy MSC-k közötti átadási folyamatra van szükség a kulcsok átadásához az új MSC-hez.
Ez a sendIdentification nevű MAP-üzenet segítségével történik. Az új VLR sendIdentification üzenetet küld a régi VLR-nek, amely viszont a folyamatban lévő hívás fenntartásához szükséges kulcsokkal válaszol. Ezek között a kulcsok között szerepel a légi forgalom titkosításához használt kulcs. A támadási forgatókönyv szerint a támadó a légi interfészen keresztül rögzíti a célpont forgalmát (amihez a célpont fizikai közelségére van szükség).
Az SS7-hez való hozzáféréssel ezután a sendIdentification üzenet segítségével lekérheti a célpont dekódolási kulcsait, és ezzel dekódolhatja a forgalmat. A sendIdentification üzenetre csak a belső hálózaton belül van szükség a következők során
átadások. Nem szabad, hogy kívülről jogos felhasználása legyen, ezért a határon szűrni kell.
Kimenő hívások elfogása
A GSM Service Control Function (gsmSCF) egy olyan funkcionális egység, amely tartalmazza a CAMEL szolgáltatási logikát, amely egy bizonyos eseménykészlet esetében biztosan eldönti, hogy a kívánt művelet módosítva, változatlanul folytatódhat-e, vagy megszakítható-e. Ez használható például a kimenő számok módosítására a körzetszám vagy a nemzetközi formátum hozzáadása érdekében.
Az SS7-hez hozzáféréssel rendelkező támadó egy insertSubscriberData üzenettel megváltoztathatja az előfizető gsmSCF-címét egy általa ellenőrzött címre. A támadó ezután képes a kimenő tárcsázott számokat átírni egy általa irányított számra. Ebben az esetben a támadó fogadja a kimenő hívást, rögzíti a hívást, mielőtt továbbítja a forgalmat a végső célállomásra.
Lehallgatás - Bejövő forgalom - Hívásátirányítás
A registerSS üzenet a kiegészítő szolgáltatások regisztrálására szolgál az előfizető számára. Az egyik ilyen szolgáltatás a hívásátirányítási szolgáltatás. Egy támadó a registerSS üzenetet arra használhatja, hogy engedélyezze a hívásátirányítást egy általa ellenőrzött számra. A hívás fogadásakor a támadó az eraseSS üzenettel megszünteti a hívásátirányítást, majd a hívást visszairányítja az előfizetőhöz. Ily módon a támadó képes lehallgatni és rögzíteni a hívást.