Dois dos maiores conselhos de Queensland foram roubados em mais de US$ 5 milhões por golpes envolvendo inteligência artificial durante um período de cerca de 12 meses.
A Câmara Municipal de Gold Coast perdeu US$ 2,78 milhões em uma fraude em novembro de 2023.
Foi realizada uma revisão interna e as recomendações de segurança foram repassadas pelo Queensland Audit Office (QAO).
No entanto, quase um ano depois, a Câmara Municipal de Noosa perdeu 2,3 milhões de dólares num ataque de fraude semelhante.
Cerca de US$ 400 mil foram recuperados, deixando os contribuintes com US$ 1,9 milhão do bolso.
Só no mês passado é que o prefeito de Noosa, Frank Wilkie, anunciou que o município foi vítima do golpe, ocorrido em dezembro de 2024.
Cr Wilkie disse que a polícia disse ao conselho para não discutir a investigação e nunca foi informada sobre o incidente ou sobre as conclusões do Conselho da Gold Coast.
Como o conselho foi enganado
A Câmara Municipal de Gold Coast foi vítima de fraude de fornecedor.
O fraudador conseguiu alterar com sucesso os dados de contato e de conta bancária de um fornecedor municipal legítimo (um empreiteiro de gestão de resíduos) por meio de solicitações por escrito e conversas telefônicas com membros da equipe de contas a pagar.
O QAO identificou diversas falhas internas:
– Falta de documentação para apoiar as alterações feitas nos detalhes dos fornecedores nos sistemas do conselho.
– Falha no processo e controles quando foram feitas alterações na conta bancária do fornecedor
– Incumprimento da política da Câmara Municipal relativamente aos dados dos fornecedores.
A Câmara Municipal de Gold Coast afirmou que todas as informações e conclusões foram repassadas ao QAO e ao Governo do Estado em abril de 2024.
Tom Tate foi eleito prefeito da Gold Coast em 2012. (ABC News: Christopher Gillette)
“Nossos procedimentos atendem aos padrões da indústria. No entanto, todas as recomendações feitas por este consultor foram adotadas”, afirmou o conselho em comunicado.
Os conselheiros foram informados antes de março de 2024.
Acredita-se que o ataque ao Conselho de Noosa tenha usado tecnologia deepfake para imitar personalidades do conselho.
Revise as recomendações
De acordo com o QAO, a Câmara Municipal de Gold Coast melhorou a sua documentação para apoiar alterações nos detalhes do fornecedor e desenvolveu uma lista de verificação para abordar o que levou à fraude.
“Em abril de 2024, a carta da administração do QAO à entidade governamental local afetada incluía recomendações para melhorar seus controles internos para mitigar o risco de ataques futuros”, disse um porta-voz do QAO.
Larry Sengstock e Frank Wilkie falaram publicamente sobre o golpe do conselho. (ABC News: Jéssica Ross)
O QAO sustentou que transmitiu os resultados da investigação no início de 2024 a todos os conselhos locais e ao governo do estado.
“Aconselhamento individual relacionado à importância de fortalecer os controles internos em torno das mudanças nos dados dos fornecedores foi fornecido a todas as entidades do setor público de Queensland, incluindo conselhos, em março de 2024”, disse um porta-voz do QAO.
O ex-ministro do governo local (sob o Partido Trabalhista) foi informado da fraude da Câmara Municipal de Gold Coast em novembro de 2023, e o governo estadual confirmou que a Câmara Municipal de Gold Coast cumpriu os seus requisitos regulamentares de relatórios.
A atual ministra do governo local, Anne Leahy, disse que incentivou todos os conselhos a compartilhar informações sobre fraudes com o setor governamental local.
“Estamos trabalhando em estreita colaboração com o setor governamental local para fornecer segurança e apoio cibernéticos”, disse ele.
O Governo do Estado não tinha conhecimento se o Conselho de Noosa implementou as recomendações de prevenção de fraudes feitas pelo QAO.
Conselho Noosa enganado
O Conselho de Noosa anunciou através de seu site e página do Facebook em 13 de outubro de 2025, após as 19h, que havia perdido US$ 2,3 milhões.
Na semana seguinte, Cr Wilkie disse à ABC que não tinha conhecimento do golpe do Gold Coast Council até outubro de 2025.
Ninguém no Conselho de Noosa quis comentar se as recomendações de revisão, feitas pelo QAO em março de 2024 para evitar fraudes, foram implementadas antes da fraude de dezembro de 2024.
Frank Wilkie disse que a polícia pediu ao conselho que não revelasse publicamente nada relacionado à fraude. (ABC News: Jéssica Ross)
Um porta-voz do Conselho de Noosa disse à ABC que “sujeito às obrigações legais e de privacidade, o Conselho de Noosa emitirá um relatório de acompanhamento sobre o incidente de fraude cibernética na rodada de reuniões de dezembro (2025) para atualizar a comunidade sobre o assunto”.
O presidente-executivo do Conselho de Noosa, Larry Sengstock, disse que uma série de medidas foram implementadas desde o ataque de dezembro de 2024, também recomendadas pelo QAO.
“Isso inclui controles internos adicionais, uma revisão de todos os procedimentos operacionais relevantes e estamos no processo de implementação de um sistema de software de terceiros para fornecer uma camada adicional de segurança na prevenção de fraudes”, disse Sengstock.
Proteja o dinheiro do contribuinte
A fraude do Conselho de Noosa provavelmente aparecerá no Relatório do Governo Local de 2025 do Auditor-Geral de Queensland, que será apresentado ao parlamento estadual no início do próximo ano.
Andy Asquith, um “descarado estudioso do governo local” da Universidade de Tecnologia de Sydney, disse que a Câmara Municipal de Noosa devia mais transparência aos seus contribuintes.
Andy Asquith acredita que alguém deveria assumir a responsabilidade pelos golpes no conselho. (fornecido)
Dr. Asquith disse que o conselho “claramente falhou em implementar as recomendações após o golpe do Conselho Municipal de Gold Coast”.
“Isso é dinheiro público que agora não será usado para fornecer serviços essenciais”, disse ele.
“Tem que haver uma obrigação de transparência.”
Como os golpes de IA realmente funcionam
O ex-agente do FBI e especialista em segurança cibernética da Universidade de Sunshine Coast, Dennis Desmond, disse que esses golpes eram “difíceis de se defender”.
“Os funcionários são frequentemente convencidos, seja através de e-mails falsos com cabeçalhos corrigidos ou através de conversas de voz, que estão realmente falando com um empreiteiro ou representante financeiro, e são convencidos a alterar dados bancários ou de contato”, disse o Dr. Desmond.
Ele disse que a IA estava facilitando as coisas para os fraudadores e que os funcionários do conselho precisavam de mais treinamento.
Dennis Desmond diz que sempre existe vulnerabilidade humana. (ABC Sunshine Coast: Jessica Ross)
“(Quando as pessoas chamam esses golpes de sofisticados, é um termo genérico do ponto de vista técnico”, disse ele.
“Não é como hackear um servidor ou um dispositivo protegido. Trata-se de usar o fator humano, que explora a confiança, explora o conhecimento, explora uma vítima individual.
“Eles precisam ser capazes de projetar confiança.”
É improvável que os fundos fraudados sejam recuperados
A probabilidade de recuperação de fundos fraudados dependeria da geopolítica e do relacionamento da Austrália com o outro país, disse o Dr. Desmond.
“Existe tecnologia que facilitaria o rastreamento desse tipo de fraude”, disse ele.
“Mas a maior parte dos fundos não é recuperada.”
