Eine Bedrohung der Sicherheit bei Voice over IP sehen die Experten im Phreaking. Schon Mitte des 19. Jahrhunderts beschäftigten sich Bastelfreaks damit, wie man die öffentlichen Telefonnetze für eigene Zwecke ausnutzen konnte, ohne dafür bezahlen zu müssen. Hochkonjunktur hatte Phreaking, nachdem die telefonische Vermittlung im letzten Drittel des 20. Jahrhunderts automatisiert wurde. Dabei werden Signale ausgenutzt, die der Vermittlungsstelle signalisieren, dass die Verbindung unterbrochen wird. Zufällig kam man dahinter, dass es sich um die Frequenz von 2.600 Hertz handelte. So entstanden die ersten Betrügereien dadurch, dass man mit dem Signalton suggerierte, die Verbindung wäre unterbrochen und dann lustig weitertelefonieren konnte, ohne dass das folgende Gespräch jemals auf der Abrechnung erschien. Der Kostenaspekt tritt im Zeitalter der Flatrates in den Hintergrund, aber technisch ist es auf diese Weise möglich, Folgegespräche abhören zu können. Diese Vorgehensweise kann bei VoIP nachgebildet werden, wenn die Schwachstellen des Session Initiation Protocol SIP dafür ausgenutzt werden.
Vishing ist ein Schlagwort, das man heute immer öfter hört. Es ist eine Modulation des Begriffs Pishing, bei dem durch Anfangen von Datenpaketen die Zugangsdaten zu Bankkonten und ähnlichen sicherheitsrelevanten Bereichen abgefangen werden. Vishing funktioniert ähnlich. Hier werden die Anrufe beispielsweise an die Servicehotlines für das Telefonbanking umgeleitet, die über Voice over IP durchgeführt werden. Wenn man Zugriff auf die richtigen Stellen der Routingsysteme hat, ist das technisch kein Problem. Indem sich die Betrüger vom Gesprächsablauf und der Abfrage genau so verhalten wie die richtigen Bankmitarbeiter, können sie sich so in den Besitz von Passwörtern und anderen Daten bringen, die sie in die Lage versetzen, die Konten der geprellten Kunden leer räumen zu können. Teilweise waren so sogar so dreist, dass sie die Kunden selbst anriefen und eine Überprüfung der Aktualität ihrer Zugangsdaten vorgaukelten.
Ein weiteres Problem bei Voice Over IP sind die so genannten SPIT Anrufe. SPIT steht für Spam over Internet Telefonie. Kurz gesagt, es handelt sich um automatisiert abgesetzte Werbung via Internettelefonie. Dabei kommen Bandansagen zum Einsatz, die einem die Teilnahme an einer Umfrage suggerieren und eigentlich nur dazu dienen, Adressdatenbanken für den Verkauf zu erstellen. An anderer Stelle werden die SPIT Anrufe vom automatischen Wählsystem eines Callcenters aus gestartet. Nimmt man ab, wird man an einen freien Mitarbeiter verbunden, der einen in ein Verkaufsgespräch verwickelt. Hier hat der Gesetzgeber zumindest in Deutschland reagiert und die Aktivierung CLIR Funktion bei den Betreibern unter Androhung einer hohen Ordnungsstrafe verboten. Doch wen will man im Ernstfall anzeigen, wenn man nicht sieht, von wem man angerufen wird? Außerdem ist bei konsequenter Anwendung der gesetzlichen Regelungen davon auszugehen, dass viele Callcenter ihren Sitz ins Ausland verlagern, weil es diese Regelungen dort so nicht gibt. Das kostet in Deutschland dringend benötigte Arbeitsplätze und für den Kunden ist der Erfolg gleich Null. Die Zusatzkosten bei den Callcentern halten sich in Grenzen, weil es für VoIP auch Flatrates gibt, bei denen auch die über das Internet geführten Auslandsgespräche kostenfrei sind. Schützen kann man sich entweder über eine Einwahlsperre oder eine automatische Abfrage vor der Weiterleitung der Anrufe. Damit kann der automatische Dialer nichts anfangen und legt wieder auf.