A menos que el correo no deseado provenga del sitio que está visitando o de que ese sitio ya conoce su dirección de correo electrónico, es poco probable que el sitio sea el responsable. De hecho, a menos que haya asociado su dirección de correo electrónico con algún servicio que sea socio del sitio que está visitando, no hay forma de que incluso obtengan su dirección (es decir, a quién le dijo realmente su dirección a?).
En cambio, un escenario más probable es un compromiso local dentro de su navegador o de otra manera en su máquina o red local. El software que se ejecuta localmente podría raspar su dirección de los formularios que ha completado y luego ver su actividad sin importar a dónde vaya o lo que haga; ningún servicio de VPN, cifrado o anonimización puede ofrecer ningún tipo de protección si el atacante controla su computadora.
Muchas personas, sin saberlo, instalan extensiones de navegador; barras de herramientas, extensiones de "búsqueda segura" u otros ayudantes como parte de otras instalaciones de software. Cuanto menos escrupuloso sea el distribuidor de software, más probable es que estas cosas se incluyan. Cualquier software de este tipo podría hacer esto fácilmente y mucho peor.
Del mismo modo, dicho software puede ser instalado por sitios web infectados utilizando vulnerabilidades como Adobe Flash Vulnerabilidad de día cero parcheada ayer para Windows, OSX y Linux. Si tiene instalado Flash (y es probable que lo tenga), entonces su navegador era y probablemente sigue siendo vulnerable y está siendo explotado activamente por sitios web maliciosos.