Cuenta-->Linden$>BitCoins-->DogeCoins-->BitCoins-->Linden$-->Paypal-->Cuenta tuya.

Limpio.

document.getElementById("iframe_id").contentWindow.location.href

Sin embargo, ésto sólo funciona si la página principal y el contenido del iFrame están alojados en el mismo dominio.

Eso ni siquiera es hacking como tal. Es cracking.
Aunque, considerando la ambigüedad de definiciones que hay hoy día, puede que no.

http://www.catb.org/jargon/html/C/cracker.html

Las claves WiFi de módems comerciales, si no se han cambiado, son unas que traen de fábrica, por defecto. Listados de dichas claves suelen estar puestos por la red un poco de google sale.

Pero una cosa es una clave WiFi, cosa que puede normalmente manipular el usuario final, y otra muy distinta el código de desbloqueo de un terminal móvil, que muy probablemente sea sólo a manos de la compañía.

El software adicional no es necesario si el usuario del teléfono se deja el GPS puesto.
Sin ir muy lejos, hay funciones de lectura de coordenadas en HTML5 si el usuario acepta los permisos. (Ver por ejemplo, el típico mensaje con los servicios de google para solicitar dichos permisos).

Más maneras hay, de no tener el GPS puesto, aún se puede sacar una posición relativa dependiendo de su proveedor de servicio. No es una posición exacta, pero sí puedes llegar a sacar la ciudad.

Ahora bien, respondiendo a la pregunta. Un usuario normal sólo puede hacer esto utilizando herramientas creadas por gente que sí sabe lo que hace.

Estoy de acuerdo con lo de la selección natural.

Por cierto, no me acuerdo en qué bareto fue, pero me encontré en una ocasión un cartel que ponía:

"En caso de incendio, prohibido twittear antes de salir del edificio".

Se ve que tuvieron algún tipo de incidente ya...

¿Cómo podría comprobar que son genuinos? (Todavía los conservo, más que nada por motivos "empíricos")
Lo que me comentas es algo que perfectamente podría ser mi caso.