Si realiza una DDoS enviando grandes cantidades de tráfico a ese sitio, es muy probable que esté creando un lote de daños colaterales, ya que otros servicios en (parte de) la red también sufrirán si la red está saturada.
Además, con mucha frecuencia los phishers utilizan sitios web pirateados (por ejemplo, instalaciones de Wordpress mal administradas y obsoletas) para alojar sus sitios de phishing, por lo que no solo está atacando al phisher, sino también a una víctima (en su mayoría) inocente de ese phisher.
Y como otros lo han señalado, al igual que en 'el mundo real' (del cual esto forma parte en gran medida), no deberías tomar el asunto en tus propias manos.
Lo correcto que hay que hacer, es quejarse con el propietario del sitio o la red que lo aloja, o informar al sitio web que se está falsificando. Especialmente los bancos a menudo tienen equipos dedicados (o compañías de alquiler) que están especializados en eliminar sitios de phishing.
Además: debe tener en cuenta que, cuando está realizando DDoS en un sitio web, no está atacando a la web "per se" sino a todo el servidor, por lo que está causando daños al servidor de alojamiento web (que puede propagarse entre otros sitios web alojados en el mismo servidor).
Finalmente: la mayoría de las leyes en la mayoría de los países consideran ilegal enviar un ciberataque, no importa si es contra un objetivo legal o ilegal.