То о чём вы пишете мир уже прошёл.. Следующим этапом был clickjacking. Этот вид атаки позволяЛ выполнять различные действия от имени пользователя.
Например, известны случаи, когда прозрачный iframe накладывался поверх какой-нибудь кнопки на сайте при нажатии на которую пользователь в действительности кликал не на неё, а на контент во фрейме, за счёт чего выполнялись непреднамеренные действия от имени пользователя.
В настоящий момент данный вид атаки считается устаревшим.
На всех популярных сайтах, включая VK, Facebook и т. д., вы можете встретить HTTP заголовок X-Frame-Options со значениями DENY (запрещает открытие во фрейме) или SAMEORIGIN (разрешает открытие во фрейме только в своём домене).
Собственно, на этом вся история и заканчивается, а идеи хакеров по поводу clickjacking уже не актульны.
