Mesmo sem clicar em nada dentro do site, poderiam ter sido:

(1) Instalados trojans bancários, ransomwares, spywares e outros malwares;

(2) Roubadas credenciais salvas em formulários (números de cartão, username e senha);

(3) Sequestrados aplicativos (apps de banco, e-mail, WhatsApp/Instagram etc.), passando o controle ao atacante.

Desconfie sempre.