Credo che una sputt*natina se la meritino:

La pagina di logon è:

• “annegata” nella home page come frame;
• la home page non è su ssl;
• la pagina di logon è su ssl;

se qualcuno prende il controllo della home page con ad esempio:

• phishing;
• dns poisoning;
• “sempliemente” prendendo il controllo del sito remoto;

L’utente non ha mezzi evidenti per accorgersene… ma perchè sono così stolti? perchè risparmiare?… una banca dovrebbe essere obbligata per legge a garantire in tutti i modi possibili, in questo caso certificati con extended validation ovunque come minimo.
L’utente ha come unica possibilità, in questo caso, quella di andare direttamente alla pagina di logon:

• cliccando con il destro all’interno dell’iframe;
• visualizzando le proprietà della pagina;
• copiando l’url della pagina di logon;
• aprendo direttamente quella pagina incollando l’url nel browser;

…comodo… e anche molto stupido.
.m