Phis­hing ist hin­läng­lich be­kannt: Der arg­lo­se Be­nut­zer er­hält eine Mail, in der er (mehr oder min­der ge­schickt) auf­ge­for­dert wird, eine be­stimm­te Web­sei­te zu be­su­chen. Heise On­line be­rich­tet von einem Me­di­en­wech­sel: Statt einer Web­sei­te war die Te­le­fon­num­mer der Bank­hot­line an­ge­ge­ben; dort er­war­te­te den An­ru­fer ein Sprach­steu­er­sys­tem, das ihn auf­for­der­te, Kon­to­num­mer und PIN ein­zu­ge­ben.
Vom Prin­zip her nichts neues, aber eine neue Qua­li­tät: Auch in Mails an­ge­ge­be­ne Te­le­fon­num­mern sind mit Arg­wohn zu ver­wen­den. Noch fa­ta­ler wäre das Sze­na­rio einer Bank, das selbst VoIP ver­wen­det: Schafft es der An­grei­fer, die Hot­line-Num­mer in der VoIP Re­gis­trie­rung zu "ka­pern", hat der Be­nut­zer keine wei­te­re tech­ni­sche Mög­lich­keit der Über­prü­fung. Das Ana­lo­gon für Web­sei­ten wäre ein DNS-Hi­jacking; auf den Web­sei­ten soll­te aber dann ein feh­len­des oder un­gül­ti­ges Zer­ti­fi­kat auf­fal­len; ein Pen­dant hier­für gibt es aber bei VoIP nicht.