Softwareudvikler Søren Louv-Jansen har demonstreret at det kan være ganske let at snyde brugere af NemId – helt uden at skulle hacke nogen som helst: Det er bare dig, der skal narres.
NemId bruges mere og mere som login på både offentlige og private sider. Så hvis man laver et NemId login på en hjemmeside, så er der ingen, der undrer sig over det – sikkerhed er jo godt. NemId login billedet er ægte nok – og det samme er din indtastning af brugernavn, password og talkode, men hvad nu hvis den hjemmeside, du er ved at logge ind på ikke er det, men i stedet benytter dine oplysninger til at logge ind på din konto i Danske Bank eller lignende? Det fungerer fint. Udvikleren skal selvfølgelig vide hvordan Danske Bank – efter login – forventer at modtage informationer eller være klar til at overtage manuelt, så snart du har logget ind for ham. Og du vil undre dig over at dit login på den falske hjemmeside ikke rigtigt giver det resultat, du havde forventet (men selv det kan man programmere sig udenom ved at vise tilsyneladende relevante informationer).
Det eneste, der p.t. forhindrer et sådant svindelnummer, er hvis du bruger NemId app’en på din mobiltelefon og husker at læse, hvad den skriver til dig: Den fortæller nemlig hvilken side, du er ved at logge ind på.