De mobiele schakelcentrale MSC bewaart normaal gesproken de coderingssleutels die door elke abonnee worden gebruikt om het gesprek tot stand te brengen. Als de abonnee onderweg is, vergemakkelijkt een handoverproces de soepele overgang van de abonnee tussen de verschillende radiocellen, terwijl de voortgang van het gesprek behouden blijft.
In sommige gevallen verhuist de abonnee van de ene cel naar de andere die door een andere VLR wordt beheerd. In dit geval beschikt de nieuwe VLR in eerste instantie niet over de authenticatie-informatie waarmee het gesprek kan worden behouden, vandaar dat een inter MSC overdrachtsproces nodig is om de sleutels naar de nieuwe MSC over te dragen.
Dit gebeurt door middel van een MAP-bericht met de naam sendIdentification. De nieuwe VLR stuurt een sendIdentification-bericht naar de oude VLR, die op zijn beurt antwoordt met de sleutels die nodig zijn om het lopende gesprek in stand te houden. Een van deze sleutels is de sleutel die wordt gebruikt om het luchtverkeer te versleutelen. In het aanvalsscenario onderschept de aanvaller het doelverkeer via de luchtinterface (waarvoor fysieke nabijheid van het doel nodig is).
Met toegang tot SS7 kan hij dan het sendIdentification-bericht gebruiken om de ontcijferingssleutels voor het doel op te halen en deze te gebruiken om het verkeer te ontcijferen. De sendIdentification is alleen nodig binnen het interne netwerk tijdens
overdrachten. Het mag geen legitiem gebruik van buitenaf hebben en moet daarom aan de grens worden gefilterd.
Uitgaande gesprekken onderscheppen
De GSM Service Control Function (gsmSCF) is een functionele entiteit die de CAMEL-dienstenlogica bevat die voor een bepaalde reeks gebeurtenissen beslist of de gewenste actie gewijzigd, ongewijzigd of afgebroken kan worden. Het kan bijvoorbeeld worden gebruikt om uitgaande nummers te wijzigen om het netnummer of het internationale formaat toe te voegen.
Een aanvaller met toegang tot SS7 kan een insertSubscriberData-bericht gebruiken om het gsmSCF-adres van de abonnee te wijzigen in een adres waarover hij controle heeft. De aanvaller is dan in staat om uitgaande gebelde nummers te herschrijven naar een nummer onder zijn controle. In dit geval ontvangt de aanvaller het uitgaande gesprek, neemt het gesprek op voordat hij het verkeer doorstuurt naar de eindbestemming.
Onderscheppen - Inkomend verkeer - Oproepen doorschakelen
Het registerSS-bericht wordt gebruikt om aanvullende diensten voor een abonnee te registreren. Een van deze diensten is de dienst voor het doorschakelen van oproepen. Een aanvaller kan het registerSS-bericht gebruiken om het doorschakelen van oproepen naar een nummer onder zijn controle in te schakelen. Na ontvangst van de oproep gebruikt de aanvaller vervolgens het bericht eraseSS om de doorschakeling te verwijderen en de oproep terug te sturen naar de abonnee. Op deze manier kan de aanvaller het gesprek onderscheppen en opnemen.