Можно по-разному взломать... в основном людей взламывают по тупости или незнанию. Кликнули на что-то не то.... но это все равно много работы сначала. (Дисклеймер: не одобряю взломы, но а) иногда обстоятельства требуют радикальных мер и б) если знаешь о методах взлома, то можно себя лучше защитить)
TL;DR: слишком сложно, если не смертельно важно или нет друга-сисадмина, то забейте.
Вариант 1.
Простой, но в то же время непредсказуемый. Если знаете, где человек ошивается/живет. Сделать бесплатный незащищённый вай-фай (такой вайфай называется honeypot). Любые данные, вводящиеся во время подключения к этому вайфаю вы как админ можете посмотреть. Загвоздка в том, что надо убедиться, что А) этот человек подключится к вашему вайфаю и Б) будет на тот момент незалогинен в вк, что затруднительно.
Вариант 2.
Для нигерийских принцев это неплохое вложение, так как многие ведутся, но для единичного случая - жопа. Потому что не факт, что именно ваш человек поведётся.
Популярная схема нигерийских принцев:
Копируешь титульную страницу вк (где логин / пароль надо вводить)
И покупаешь домен (название сайта), похожий на оригинал, и какой-то дешевый хостинг.
Если люди натыкаются на эту копию и думают, что это оригинал, они введут свои данные
Естественно, ничего видимого не произойдёт, так на копии есть только титульная страница. Но через форму логина и пароля эти данные идут вам
И с помощью этих данных вы идёте логиниться на их настоящий вк
Но надо их как-то заманить туда. Вот так примерно:
Смотришь, как выглядит почтовая рассылка вк (когда пароль сбрасываешь, как выглядит письмо от вк)
Делаешь фейковую почту ВК с именем а-ля VK Support (просто имя поменять, а почту рандомно назвать. Идиоты не проверяют. Например, когда почта
dasha007@mail.ru, а в почте отображается просто Маша Пупкина). Для ещё лучшего результата сделать саму почту с похожим названием, типа
support@vk.co, а не .com...
Потом скопировать макет почты от вк
И написать что-то типа: «Здравствуйте, мы обнаружили у вас подозрительную активность. Вам требуется изменить пароль на странице.»
И прилагаешь кнопку внизу: «Сменить пароль»
Когда юзер кликает, то переходит на вашу фейковую страницу
Но он, конечно, не залогинен там. Поэтому ему нужно ввести свои данные)))
И вуаля, готово
Вариант 3.
Более продвинутая версия второго варианта. ДНС-спуфинг. Работает, если пользователь вводит http, а не https.
Делаете сайт-копирку, как во втором варианте.
Тоже надо слать имейл. Правда содержание может быть любое (типа ваш кредитный рейтинг упал! Мы можем помочь. И кнопка с «бесплатный месяц»). Лишь бы человек нажал на кнопку.
Далее пишешь скрипт, который меняет на компе днс. Вместо айпи адреса настоящего сайта вк он меняет его на айпи адрес вашей копирки.
И делаете так, чтобы при нажатии кнопки в рассылке запускался этот скрипт. Ничего видимого для пользователя не произойдёт, он пожмёт плечами и удалит письмо.
Позже он зайдёт в вк
Если он вводит
http://vk.com, то тогда из-за его днс, который вы поменяли, он попадает на ваш сайт-копирку. Он вводит свои данные на автомате, но ничего не происходит. А данные ваши.
Вариант 5.
Звонок от «службы поддержки вк». Самый низкий шанс на успех, но если человек вообще в технике не але, то может прокатить.
Делаешь фейковый номер, желательно похожий на настоящий номер поддержки вк (если им вообще можно по телефону звонить). Прикидываешься агентом службы поддержки и говоришь, что аккаунт скомпрометирован и надо сменить пароль. Для проверки спрашиваешь его нынешний логин и пароль))))) Клацаешь на клавиатуре и притворяешься, что поменяла все)))
Через графу ВОССТАНОВИТЬ ПАРОЛЬ. Воддишь его номер телефона, приходит смс с подтверждением. Меняешь пароль, удаляешь у него в телефоне это сообщение, и читаешь всю переписку, пока он не поймёт что его взломали 
Ну в этом случае должен быть доступ к его телефону) Вот делать то нечего было, сейчас вспоминаю, смешно 
Если серьёзно, то взлом чужих переписок это блаж какая-то, ни к какому уголовному преследованию того, чей аккаунт взломали не приведёт. Признайтесь самой себе зачем вам это надо на самом деле.