Se fai un DDoS inviando grandi quantità di traffico a quel sito, molto probabilmente creerai un lotto di danni collaterali poiché anche altri servizi in (parti di) la rete ne risentiranno se la rete è satura.
Inoltre, molto spesso i phisher utilizzano siti Web compromessi (ad esempio installazioni WordPress mal gestite e obsolete) per ospitare i loro siti di phishing, quindi non stai solo attaccando il phisher, ma anche una (soprattutto) vittima innocente di quel phisher.
E come altri hanno sottolineato, proprio come nel "mondo reale" (di cui questo fa parte), non dovresti prendere in mano la situazione.
La giusta cosa da fare è presentare un reclamo al proprietario del sito o alla rete che lo ospita o segnalarlo al sito web che si sta utilizzando. Soprattutto le banche spesso hanno squadre dedicate (o società di noleggio) che sono specializzate nella rimozione di siti di phishing.
Inoltre: devi considerare che, quando fai un DDoSing su un sito web, non stai attaccando il web "di per sé" ma l'intero server, quindi stai causando il danno al server di webhosting (che potrebbe propagare tra altri siti web ospitati nello stesso server).
Infine: la maggior parte delle leggi nella maggior parte dei paesi considera illegale inviare un attacco informatico, non importa se è contro un bersaglio legale o illegale.