en.javascript.info/7-frames-and-windows/6-clickjacking/clickjacking-visible.view/index.html

<!doctype html>
<html>

<head>
  <meta charset="UTF-8">
</head>

<body>

  <style>
    iframe {
      /* iframe с сайта-жертвы */
      
      width: 400px;
      height: 100px;
      position: absolute;
      top: 0;
      left: -20px;
      opacity: 0.5;
      z-index: 1;
    }
  </style>

  <div>Нажмите, чтобы разбогатеть сейчас:</div>

  <!-- URL, в реальности - с другого домена (атакуемого сайта) -->
  <iframe src="facebook.html"></iframe>

  <button>Жми тут!</button>

  <div>..И всё получится (хе-хе, у меня, злого хакера, получится)!</div>

</body>

</html>