なんかあれの説明っていろいろ見てみてもこうイマイチピンとこなかったんですよね。
記事は多いからなんとなく「他人のサイトみてそこが本命サイト（銀行のとか）に攻撃〜」て流れはわかるんですが
具体的な方法というか仕組みというか。

まぁ真似されるかもしれないから明確に書かないのかもしれないですけど。対策は明確に書かれてるし。
でも攻撃の仕組みをしっかり理解しないとその対策が完璧に合ってるか不安なので更に調べると
ここがわかりやすかったです。
Cross-Site Request Forgery: Prevent CSRF Attacks

この知識があるのが前提です。
Cookie の仕組み | Webセキュリティの小部屋

割と保存期間の長いセッションIDをクッキーに入れてるのが前提ですね。
クッキー内には閲覧したFQDN=SessionIDなどといった形で記述され、再度そのFQDN（Webサイト）を見るとそのクッキーの値が送信されるって仕組みです。
CSRFはこれをうまく利用してて

手順
１ユーザが銀行サイト（例えば）にログイン
２ユーザログイン中のまま別サイト（罠サイト）を閲覧
３罠サイトが罠口座向けに送金されるURLパラメータを作ってユーザをそれにリダイレクトさせる
４本命の銀行サイトにリダイレクトされるからクッキーがくぱぁて開いてSessionIDがまだ有効だったら実行される

おわり

間違ってたらすいません。教えてくだせぇ。