Załącznik rzeczywiście trzeba otworzyć - ale za pośrednictwem phishingu można "zmusić" użytkownika do otworzenia tego załącznika. Czasem nie wzbudza to podejrzeń, bo złośliwy załącznik może mieć rozszerzenie PDF, JPG, i tak dalej.
Sam wirus nie włamuje się do bazy danych - robi to programista pisząc tego wirusa, wykorzystując przy tym znane mu luki w sofcie (lub wykorzystując informacje, które już posiada).
Ewentualnie może to być fałszywa strona WWW, czy keylogger, gdzie użytkownik przy wpisywaniu swoich danych wysyła je do atakującego, a ten je wykorzystuje.
Pieniądze można stracić na przykład przez atak, którego nazwy nie znam (heh) - polega on na podmianie numeru konta na stronie banku podczas robieniu przelewu - użytkownik widzi poprawny numer konta, ale w rzeczywistości przelew jest wysyłany na inne konto. Można to wyłapać w potwierdzeniu SMS, w którym polecam zawsze weryfikować odbiorcę przelewu.
Można uruchomić wirusa korzystając z JS. Przykładem jest Meltdown.