Итак как это было.

Меня подписали в чат с просьбой помочь с голосованием на конкурсе. После перехода по ссылке на голосование попросили авторизоваться в ВК, чтобы голос был учтен. Так иногда бывает и я сделал. Очевидно, что в этот момент пароль и перехватили. Но у меня стоит двухфакторная авторизация и она не сработала. Поправка: пользуясь моим полученным паролем они его сменили (получив код для смены прямо в приложении ВК), потом отключили уведомления о входе.
Потом в районе 22:24 местного времени злоумышленники создали страничку с картинкой текстом, сейчас она находится по адресу (подчеркивания я поставил чтобы переходов не было) https://____vk.com/@design_nick-nikolai-deryabin
И похоже начали ее рассылать как-то. В личных сообщениях у меня пусто.
Буквально сразу мне позвонили друзья и начали интересоваться что произошло. И пошел вал сообщений по всем каналам связи и viber и whatsapp и vk. Но сообщения в вк я конечно не видел. Я сменил пароль с подтверждением (двухфакторка сработала на ура) и перехватил управление своей учетной записью обратно.

22:23 — 2 раза меняют пароль (как без 2-х факторки?) — уже понял, они получили код смены прямо в приложении ВК!
22:24 — отключают подтверждение входа
22:25 — входят из Оренбурга
22:40 — я перехватываю свой акк обратно

Сейчас буду писать в администрацию VK, может смогут как-то остановить аналогичные случаи.

ПС. Резюме: я сам дурак и дал им пароль. А вот зачем код подтверждения смены пароля приходит в приложение ВК — вопрос к безопасности ВК.