Первоначально владелец учетной записи социальной сети «В контакте» получает сообщение от одного из пользователей, зарегистрированных в его списке друзей. Такое послание обычно не вызывает подозрений, поскольку люди привыкли относиться с некоторой степенью доверия к информации, получаемой от своих знакомых.
На момент отсылки послания учетная запись отправителя уже взломана, а его логин и пароль находятся в руках злоумышленников. Сообщение, как правило, содержит ссылку на графический файл, предлагающий посетить сайт злоумышленников для установки какого-либо приложения, например утилиты, позволяющей отслеживать случайных посетителей на страничке пользователя социальной сети.
Рекламирующее фишинговый сайт изображение хранится на одном из серверов внутренней системы файлового обмена «В контакте», и потому при переходе по ссылке пользователю не демонстрируется сообщение о том, что он покидает сайт социальной сети. Стоит пользователю перейти на рекламируемый сайт, оформление которого копирует интерфейс данной социальной сети, и ввести свои учетные данные в форму авторизации, как они тут же попадают в руки злоумышленников, и от его имени по списку друзей начинается отправка сообщений, содержащих фишинговые ссылки.
«Доктор Веб» рекомендует пользователям нее открывать подозрительные ссылки, полученные даже в сообщениях от знакомых, не устанавливать и не запускать игры и приложения, рекламируемые в спам-рассылках, никогда не вводить логин и пароль учетной записи в «В контакте» на сайтах, URL которых отличается от vkontakte.ru и использовать современное антивирусное программное обеспечение.