Good Carder
Professional
- Messages
- 938
- Reaction score
- 532
- Points
- 93
From carder to carders. Did you think SMS 2FA was secure? That your bank wouldn't let anyone intercept your one-time password? Naive. In 2026, mobile network security is a house of cards that collapses with a single portable device costing a couple thousand dollars. SMS blasters, IMSI catchers, 5G downgrade attacks—these terms turn any phone into a radio interceptor capable of stealing your money.
In this article, I'll examine real-world attacks on mobile networks—from creating fake towers to intercepting 2FA codes. You'll learn how hardware (USRP, LimeSDR, StingRay) works, how to build a cheap SMS blaster, how the SNI5GECT downgrade attack works, and how this combination allows for the theft of access to banks and crypto wallets.
The simplest and most dangerous attacks on modern networks are IMSI catchers (also known as StingRays) and SMS blasters . The former disguise themselves as legitimate towers and intercept phone IDs within a radius of up to a kilometer. The latter, a more aggressive version, bombards the victim with phishing SMS messages, bypassing all operator filters. Both attacks are based on the same principle: the phone doesn't verify the authenticity of the base station, so any device with a stronger signal siphons all traffic in the vicinity. At this point, the carder can read all your traffic, extract OTPs, steal your IMSI, and redirect you to phishing sites.
The beauty is that this vulnerability is impossible to fix in 5G and 4G. For backward compatibility, operators retain legacy protocols, which are the primary vector for downgrade attacks. This is how we intercept secure traffic via legacy protocols.
Attack technology:
IMSI catchers are actively sold to private companies and are used not only for traditional "raids" but also for direct carding. The obtained IMSI can be linked to a real phone number, and then SMS messages containing 2FA codes can be intercepted via the SS7 protocol. Retail prices for such devices range from 5,000 to 5,000 rubles, depending on the range and additional signal suppression modules.
Вся цепочка от захвата до инъекции сообщений занимает менее десяти секунд. После отправки сообщения устройство отключается, и телефон возвращается к легитимной вышке, а владелец даже не замечает подмены.
Известные инциденты 2026 года:
В сообщениях SMS-бластеров мошенники часто имитируют уведомления от банков: «Подозрительный вход в ваш аккаунт. Перейдите по ссылке для блокировки» или «Ваш PayPal аккаунт заблокирован. Войдите по ссылке для снятия ограничений». Когда жертва переходит по ссылке, у неё крадут логин и пароль, а также обходят 2FA через реальный перехват СМС.
Для кардера стоимость оборудования для SMS-бластера составляет от 3000 до 10 000 для готового профессионального набора. Однако можно собрать более дешёвый аналог, используя LimeSDR (стоимостью около 300–400) и обычный ноутбук с софтом OpenLTE или srsRAN, что с учётом антенны и усилителя выливается в итоговую сумму около 1 000–1 500.
Как работает SNI5GECT:
Наиболее живучей является атака с понижением версии протокола с использованием поддельного Registration Reject, вызывающая откат устройства на менее безопасный 4G (LTE). Всё это работает на реальных чипсетах Qualcomm, MediaTek и Samsung и уже признано индустрией в рамках базы уязвимостей GSMA CVD-2024-0096. Главное преимущество этой техники — её не нужно искать, она не создаёт мощный фоновый шум, выдающий фейковую вышку, и остаётся невидимой для операторов.
SNI5GECT framework уже опубликован на GitHub со всеми исходными кодами и документацией по развёртыванию. С его помощью даже новичок с LimeSDR за $400 может настроить полноценный инструмент для перехвата 5G-трафика.
How the attack works: Simply request the victim's mobile operator's "Provide Subscriber Information" from SS7, and the system will return data from the tower the phone is connected to. This is one of the reasons why SMS-2FA is no longer considered reliable protection: carders can intercept the OTP code at the operator level without hacking your phone. SS7/Diameter equipment is expensive, but it can be rented in closed circles. Monthly rental prices for SS7 access start at 10,000 rubles, and for large projects can reach 10,000 rubles, and for larger projects, can reach 50,000 rubles or more per month.
The final cost of hacking 5G networks for an average operator skilled in soldering and scripting is $1,500–$1,500–$2,500 . High-quality preparation for mass attacks on banks with 2FA interception can cost as much as $10,000–$20,000.
Quick one-line reminder:
"An SMS blaster in the car projects a signal for a kilometer, and phones automatically connect to the fake tower. 10 seconds—and the carder receives an SMS with an OTP. SS7 hacks global roaming, an IMSI catcher calculates geolocation, SNI5GECT downgrades 5G to vulnerable 4G. The entire process is automated. Your only chance is to disable 2G and forget about SMS confirmation. In 2026, mobile network security is your personal choice."
In this article, I'll examine real-world attacks on mobile networks—from creating fake towers to intercepting 2FA codes. You'll learn how hardware (USRP, LimeSDR, StingRay) works, how to build a cheap SMS blaster, how the SNI5GECT downgrade attack works, and how this combination allows for the theft of access to banks and crypto wallets.
Part 1. 5G: The Illusion of Security
The main myth about 5G is that it's "unhackable" and "protected by quantum encryption." In reality, it's much more prosaic: 5G is better protected than 4G, but its Achilles heel is backward compatibility. A phone decides for itself which network to connect to, but a carder can convince it to use older, more flawed protocols (2G, 3G). By studying several real-world attacks, we can understand how this works.The simplest and most dangerous attacks on modern networks are IMSI catchers (also known as StingRays) and SMS blasters . The former disguise themselves as legitimate towers and intercept phone IDs within a radius of up to a kilometer. The latter, a more aggressive version, bombards the victim with phishing SMS messages, bypassing all operator filters. Both attacks are based on the same principle: the phone doesn't verify the authenticity of the base station, so any device with a stronger signal siphons all traffic in the vicinity. At this point, the carder can read all your traffic, extract OTPs, steal your IMSI, and redirect you to phishing sites.
The beauty is that this vulnerability is impossible to fix in 5G and 4G. For backward compatibility, operators retain legacy protocols, which are the primary vector for downgrade attacks. This is how we intercept secure traffic via legacy protocols.
Part 2. IMSI Catcher (StingRay): Identifier Interception and Geolocation
This is the foundation of all mobile attacks. An IMSI catcher is a device that imitates a real cell tower, but is essentially a MITM proxy. The attack works in several stages.Attack technology:
- Jamming . The device (StingRay) jams the signal of a real operator tower on 4G/5G frequencies.
- Decoy . It begins broadcasting a signal in its own name with a strength significantly higher than that of the legitimate tower. All phones within a kilometer radius automatically switch to this "golden" source.
- Downgrade . Once in the role of a "tower," StingRay sends a command to the phone to switch to the legacy 2G protocol (GSM).
- Data collection . 2G networks have no subscriber encryption and no tower authentication. The device can now freely read all traffic and collect IMSI and IMEI identifiers from the phone for geolocation tracking.
IMSI catchers are actively sold to private companies and are used not only for traditional "raids" but also for direct carding. The obtained IMSI can be linked to a real phone number, and then SMS messages containing 2FA codes can be intercepted via the SS7 protocol. Retail prices for such devices range from 5,000 to 5,000 rubles, depending on the range and additional signal suppression modules.
Part 3. SMS Blasters: Mass Phishing within a 1-2 km radius
Если IMSI-катчер — это снайперская винтовка, то SMS-бластер — это ракетная установка. Это портативное устройство, которое выглядит как чемодан или рюкзак с антеннами. Оно имитирует вышку сотовой связи и проецирует мощный LTE-сигнал, который перехватывает соединение тысяч телефонов в радиусе километра. Как только телефон подключается к поддельной вышке, бластер принудительно переключает его в небезопасный 2G-режим и рассылает сообщения напрямую в память телефона, минуя СМС-центр оператора. Обычный спам-фильтр просто не видит этих сообщений.Вся цепочка от захвата до инъекции сообщений занимает менее десяти секунд. После отправки сообщения устройство отключается, и телефон возвращается к легитимной вышке, а владелец даже не замечает подмены.
Известные инциденты 2026 года:
- В марте 2025 года студент проехал по Лондону с SMS-бластером в багажнике, заставив тысячи телефонов подключиться к поддельной вышке. Его сообщения с предложением вернуть налог выглядели как официальные от HMRC. Примечательно, что даже полицейские, приехавшие на вызов, получили на свои телефоны фишинговое сообщение — от устройства, которое стояло в багажнике автомобиля, к которому они направлялись.
- В 2025–2026 годах в канадском Торонто действовала группировка, которая с помощью автомобилей, оснащённых SMS-бластерами, генерировала до 13 миллионов сетевых событий. Они имитировали вышки, разрывали соединения тысяч телефонов, а затем рассылали фишинговые сообщения. В итоге была арестована группа из трёх человек.
В сообщениях SMS-бластеров мошенники часто имитируют уведомления от банков: «Подозрительный вход в ваш аккаунт. Перейдите по ссылке для блокировки» или «Ваш PayPal аккаунт заблокирован. Войдите по ссылке для снятия ограничений». Когда жертва переходит по ссылке, у неё крадут логин и пароль, а также обходят 2FA через реальный перехват СМС.
Для кардера стоимость оборудования для SMS-бластера составляет от 3000 до 10 000 для готового профессионального набора. Однако можно собрать более дешёвый аналог, используя LimeSDR (стоимостью около 300–400) и обычный ноутбук с софтом OpenLTE или srsRAN, что с учётом антенны и усилителя выливается в итоговую сумму около 1 000–1 500.
Часть 4. Downgrade-атаки: SNI5GECT и «5Ghoul»
Современные downgrade-атаки позволяют взломать самый защищённый протокол 5G вообще без глушения сигнала. Новейшая разработка SNI5GECT (Advanced open-source framework for 5G NR sniffing and injection by Singapore University of Technology and Design) была представлена на USENIX Security в 2025 году и уже активно используется для взлома сетей. В отличие от классических IMSI-катчеров, это пассивная третья сторона. Она не создаёт вышку-приманку, а перехватывает незашифрованный трафик на ранних этапах установки соединения и инжектирует в него свои данные в нужный момент.Как работает SNI5GECT:
- Пассивный перехват. Атака использует SDR-устройство (USRP/LimeSDR), чтобы слушать радиоэфир. В момент, когда телефон пытается восстановить соединение (например, после выхода из тоннеля или отключения режима полёта), он передаёт служебные параметры в незашифрованном виде.
- Синхронизация. SNI5GECT подхватывает этот трафик и рассчитывает точное время для инъекции.
- Подмена сообщения. Кардер с минимальной задержкой подставляет модифицированный пакет, который выглядит как ответ легитимной базовой станции.
- Следствие. В зависимости от модификации пакета устройство может либо упасть в BSOD (медленные модемы MediaTek), либо получить команду переключиться на 4G-сеть, где можно продолжить все остальные атаки (IMSI-сбор, SMS-бластинг). Важно, что после такой атаки телефон может навсегда "забанить" эту базовую станцию и больше никогда не подключаться к ней нормально.
Наиболее живучей является атака с понижением версии протокола с использованием поддельного Registration Reject, вызывающая откат устройства на менее безопасный 4G (LTE). Всё это работает на реальных чипсетах Qualcomm, MediaTek и Samsung и уже признано индустрией в рамках базы уязвимостей GSMA CVD-2024-0096. Главное преимущество этой техники — её не нужно искать, она не создаёт мощный фоновый шум, выдающий фейковую вышку, и остаётся невидимой для операторов.
SNI5GECT framework уже опубликован на GitHub со всеми исходными кодами и документацией по развёртыванию. С его помощью даже новичок с LimeSDR за $400 может настроить полноценный инструмент для перехвата 5G-трафика.
Часть 5. SS7 и Diameter: глобальный перехват без глушения
These protocols underlie roaming and data transfer between operators. The SS7 protocol emerged back in the 1970s and simply didn't provide for authentication; by default, all its clients were "their own." Today, a carder who gains access to SS7 (via a hacked operator or commercial provider) can send any request "on behalf of" the victim's operator: determine the phone's real location to within a hundred meters, reroute all calls, intercept SMS messages, and then use this data to steal money.How the attack works: Simply request the victim's mobile operator's "Provide Subscriber Information" from SS7, and the system will return data from the tower the phone is connected to. This is one of the reasons why SMS-2FA is no longer considered reliable protection: carders can intercept the OTP code at the operator level without hacking your phone. SS7/Diameter equipment is expensive, but it can be rented in closed circles. Monthly rental prices for SS7 access start at 10,000 rubles, and for large projects can reach 10,000 rubles, and for larger projects, can reach 50,000 rubles or more per month.
Part 6. Equipment for 5G attacks and the cost
- USRP B200mini / B210. A ready-to-use industrial kit for radio research. Fully compatible with 5G and LTE, clock speeds up to 56 MHz, and support for frequencies up to 6 GHz. Price range: 1,500–1,500–3,000.
- LimeSDR (budget alternative). A cheaper SDR transceiver that supports projects like OpenLTE and srsLTE. Price: 300–400. Ideal for building an SMS blaster and running tools like SNI5GECT.
- BladeRF 2.0 micro. Professional tool with 2x2 MIMO, 5G NR support, price: 900–1,200.
- Raspberry Pi + SIM800 module. For creating a simple IMSI catcher on 2G networks using legacy protocols. Price: 50-100.
- DIY SMS blaster. Basic kit: LimeSDR (350) + Raspberry Pi4 (350) + Raspberry Pi4 (100) + laptop with GNURadio and OpenLTE/srsRAN software. With antennas and amplifiers, it costs around 800–1,500 rubles.
The final cost of hacking 5G networks for an average operator skilled in soldering and scripting is $1,500–$1,500–$2,500 . High-quality preparation for mass attacks on banks with 2FA interception can cost as much as $10,000–$20,000.
Part 7. OPSEC for Mobile Attack Operators
- Work on the move. A fake tower, even in a backpack, emits a powerful signal that can be localized. You can use jammers, but in civilian areas, this will immediately attract law enforcement. A car is ideal. In the Canadian case, carders drove around Toronto in cars with equipment in the trunk, allowing them to operate for several months without being caught. A Chinese student in London did the same with an SMS blaster in his Honda CR-V.
- Equipment concealment. The device should be hidden in a suitcase, backpack, or insulated bag to prevent overheating. For permanent installation, attics or high-rise rooftops are best, as these locations provide the longest signal reach.
- Clean SIM cards and funds. Use Monero and the darknet to purchase equipment. Never use personal accounts for funds. Rent a car in another country for cash. After the transaction, hide the device or change its appearance.
- Signature monitoring. If you're using ready-made software (like OpenLTE), its radio signature is known to operators. Fake tower detectors exist, and operators can quickly identify you. Some operators have already switched to using AI systems to detect signal anomalies, making attacks in crowded areas extremely dangerous.
- Using an IMSI catcher. A simple IMSI catcher only requires LTE/4G bandwidth to intercept traffic without downgrading to 2G. For full-fledged SMS interception and 2FA bypass, a cascade attack is used: first, the connection is downgraded to 4G using SNI5GECT injection from real 5G traffic. Then, a classic IMSI catcher intercepts 2FA codes over the air, and you gain access to your account. The entire process takes 30-60 seconds and is fully automated.
Resume
SMS-2FA is dead. IMSI catchers and SMS blasters turn phones into eavesdropping devices, and intercepting roaming protocols allows them to attack victims worldwide. In 2026, any carder with a budget of under $2,000 can rent equipment and intercept the OTP codes of thousands of people in crowded places. Current attacks have already reached commercial levels. SMS blasters project a powerful signal, forcing phones to connect to them, and phishing messages reach victims directly, bypassing operator filters . SNI5GECT allows hacking the secure 5G protocol itself simply by injecting packets into the unprotected portion of the connection, without even jamming the signal.Quick one-line reminder:
"An SMS blaster in the car projects a signal for a kilometer, and phones automatically connect to the fake tower. 10 seconds—and the carder receives an SMS with an OTP. SS7 hacks global roaming, an IMSI catcher calculates geolocation, SNI5GECT downgrades 5G to vulnerable 4G. The entire process is automated. Your only chance is to disable 2G and forget about SMS confirmation. In 2026, mobile network security is your personal choice."
