IMSI Catchers 是假移动网络单元 (BTS) 和用于呼叫路由的附加设备，以“邪恶双胞胎攻击”和 MiTM 方式运行。它们通常位于受害者附近的地方，它们的信号比合法网络服务提供商小区的信号强，因此受害者手机选择假基站而不是合法基站。当手机尝试与特定的 GSM 协议握手过程协商加密方案时，IMSI Catcher 通过其 IMSI 识别受害者并将所需的加密从 A5/1 或 A5/2 降级为 A5/0 或“未加密” . 它基本上告诉受害者电话“除了 A5/0，我什么都不支持”。当电话开始与 IMSI Catcher 通信并为该客户端分配流量通道时，所有通信都可以在流量信道上被嗅探，因为没有加密。接下来，在网络服务提供商允许访问其 HLR 的情况下，使用订户主密钥对通信进行加密，并通过网络进行路由。这样，我们可以在受害者不了解监视行为的情况下进行双向通信。

这在没有物理 BTS 的情况下无法完成，因为它需要在 RF 媒体上接收和发送。

我同意这样一个事实，即要捕获（知道）IMSI，您不一定需要物理基站，前提是您可以侵入核心网络并利用信令协议，例如Signaling System no。7 . 随着 SIP/VoIP 协议以及 IP 世界与电信世界的融合，核心网络不再是一个有围墙的花园。访问核心网络比以前相对容易。

例如，如果您有受害者的电话号码，您可以使用以下信令协议消息来获取 IMSI。

1. MAP_SENDROUTING_INFO_FOR_SM（SMS 过程）
2. MAP_SENDROUTING_INFO（呼叫建立过程）
3. 任何时间询问请求

有关详细信息，请阅读本文第 4.2.3节。

但是，要知道 IMSI 的 SS7 攻击可能比自己拥有一个假基站要昂贵得多。您可以使用Yate openBTS构建（我不推荐）您自己的手持基站。对IMSI捕捉器这样的一个新的更新可以看出这从黑帽欧洲。