Asumsi saya, sms dengan atas nama Bank Mandiri sebagaimana pada screenshot di OP yang mengirimkan kode OTP ke nomor agan itu merupakan sms resmi dari bank tersebut.
Si Scammer yang sudah mengetahui detail kartu kredit Mandiri agan menggunakannya untuk transaksi di Bukalapak, nah ketika transaksi dan membutuhkan kode OTP tersebutlah maka notifikasi asli masuk ke nomor agan, maka dari itu dia menghubungi agan agar menyebutkan kode OTP nya.
Iya juga ya, ane pikir itu nomor scammer ternyata bank mandiri sendiri. Tapi kok sekelas buka lapak tidak membuat PIN transaksi ya?, ane sering menggunakan CC misal di blibli, pasti tanda tangan PIN dulu sebelum kode OTP masuk lewat SMS.
Jika memang yakin ada penyalahgunaan dari penggunaan layanan tersebut, coba saja konfirmasikan ke nomor kontak yang tertera di
https://myads.telkomsel.com/. Perihal apakah akan dapat reward atas pelaporan tersebut, saya tidak tahu.
Orang pada malas kalau melaporkan hal penting gini tapi tdk ada semacam reward. Hal ini sangat berbeda dengan perusahaan luar negeri, mereka sangat melayani publik, sehingga perusahaan itu harus sempurna dengan menyediakan reward jika ditemukan sebuah bug atau celah. Beda dengan perusahaan besar Indonesia, malah celah atau bug yang merugikan costumer ini dijadikan profit untuk mereka sendiri.