SS7 呼叫拦截

移动交换中心 MSC 通常持有每个用户用于建立呼叫的加密密钥。当用户移动时，切换过程有助于用户在不同无线电小区之间顺利切换，同时保持通话进度。

在某些情况下，用户从一个小区转移到另一个由不同 VLR 管理的小区。在这种情况下，新的 VLR 最初并不掌握有助于保留呼叫的认证信息，因此需要进行 MSC 间切换，将密钥转移到新的 MSC。

这是通过一个名为 sendIdentification 的 MAP 消息实现的。新 VLR 会向旧 VLR 发送 sendIdentification 信息，旧 VLR 则会回复维持正在进行的呼叫所需的密钥。 这些密钥包括用于加密空中流量的密钥。在攻击场景中，攻击者通过空中接口捕获目标流量（要求与目标有物理距离）。

在接入 SS7 后，他就可以使用 sendIdentification 消息检索目标的解密密钥，并用它来解密流量。sendIdentification 只需要在内部网络期间使用。
移交。它不应有来自外部的合法用途，因此应在边界上进行过滤。

拦截呼出电话

GSM 服务控制功能（gsmSCF）是一个功能实体，它包含 CAMEL 服务逻辑，可针对特定事件决定所需的操作是否可以继续修改、不修改或中止。例如，它可用于修改呼出号码，添加区号或国际格式。

可以访问 SS7 的攻击者可以使用 insertSubscriberData 信息将用户的 gsmSCF 地址更改为自己可以控制的地址。这样，攻击者就能将向外拨号改写为自己控制的号码。在这种情况下，攻击者将接收外拨呼叫，在将流量转发到最终目的地之前记录呼叫。

拦截 - 来电 - 呼叫转移

registerSS 消息用于向用户注册补充服务。其中一项服务是呼叫转移服务。攻击者可使用 registerSS 信息将呼叫转移到其控制的号码。收到呼叫后，攻击者使用 eraseSS 信息删除呼叫转移，然后将呼叫转移回用户。这样，攻击者就能拦截和记录通话。