注意：この記事は十分検証を行っていません。ご自分でお確かめください。
クリックジャッキングというのがZDNetの記事に出てました。

This seems to fit the bill: No Javascript required, uses iframes, and gives the ability to seemingly overlay one UI on top of another.
http://www.breakingpointsystems.com/community/blog/clickjacking/real-clickjacking
(via: Blogs | ZDNet)

攻撃者のページに、攻撃先サイトの任意のページ(たとえばMySpaceの設定変更ページ)を透明の<IFRAME>で仕掛けておいて、犠牲者にそれと意識させずに設定変更ボタンをクリックさせる方法のようです。なんとなく、以前から知られていた問題のような気がしますが、気のせいでしょうか。おそらく、本当はこんな簡単な話じゃないんでしょう。
対策としては、このように<IFRAME>タグで普通にGETで書くだけで設定変更ページが出ないようにする、とか、あるいはCAPCHAみたいなのがいいのでしょうか。
ただ、もともと指摘されているClickjackingといのが、本当に上記サイトで話題にされている単なる透明<IFRAME>の話でいいのかも今のところ不明です。

今更ですが、<IFRAME>タグってクロスドメインで開けるようにしている意義はないような気がします。