il faut identifier par ou arrive l'appel - soit par ngrep, soit en ajoutant un verbose(1,recvip: ${CHANNEL(recvip)})

si l'ip et le compte sont connus, c'est que c'est le tiers qui s'est fait pirater.... donc, bloquer le tiers tant qu'il n'a pas résolu son pbm
sinon, bloquer l'ip