但事实上，你的Facebook凭证早已落入攻击者手中。而那个“登录窗口”，根本不是真正的浏览器新窗口，而是网页用CSS和Java精心伪造的“幻影”——一种名为“浏览器内浏览器”（Browser-in-the-Browser, BitB）的高级钓鱼技术 ...

过去，人们印象中的钓鱼网站往往漏洞百出：错别字频出、排版混乱、域名一看就假。但如今的钓鱼工具包已能高度复刻目标品牌（如微软、PayPal、招商银行、国家税务总局等）的登录界面，甚至动态加载原站CSS和Java资源，以通过内容安全策略（CSP）检查。