Pokud chce někdo provozovat phishingový web, potřebuje k němu důvěryhodný certifikát. Aby byl certifikát důvěryhodný, musí být na veřejném Certificate Transparency listu. Z něj se o tom, že někdo chystá web s danou doménou, dozví všichni, včetně CSIRT.CZ. Stejně pak předpokládám musí s blokováním počkat, až se tam ten web objeví, protože jen na základě podezřelého názvu doménu asi blokovat nepůjde.
Navíc ty phishingové weby se objevují i v jiných TLD, než .cz, takže přístup k zónovému souboru by stejně nestačil, i kdyby ho CSIRT.Z měl.