Asumsi saya, sms dengan atas nama Bank Mandiri sebagaimana pada screenshot di OP yang mengirimkan kode OTP ke nomor agan itu merupakan sms resmi dari bank tersebut.
Si Scammer yang sudah mengetahui detail kartu kredit Mandiri agan menggunakannya untuk transaksi di Bukalapak, nah ketika transaksi dan membutuhkan kode OTP tersebutlah maka notifikasi asli masuk ke nomor agan, maka dari itu dia menghubungi agan agar menyebutkan kode OTP nya.
Iya juga ya, ane pikir itu nomor scammer ternyata bank mandiri sendiri. Tapi kok sekelas buka lapak tidak membuat PIN transaksi ya?, ane sering menggunakan CC misal di blibli, pasti tanda tangan PIN dulu sebelum kode OTP masuk lewat SMS.
Logikanya jika itu adalah sms dari nomor
scammer, maka dia tidak perlu repot menanyakan lagi kode OTP (kemungkinan bypass kode OTP ini perlu jadi perhatian).
Asumsi saya akun Bukalapak yang digunakan untuk transaksi adalah akun milik
scammer tersebut; Perkara apakah dia menerapkan PIN atau fitur 2FA lainnya, tentu dia bisa mengaksesnya sendiri. Jadi dalam hal ini bukan akun Bukalapak agan atau yang lain yang dia tidak bisa mengakses begitu saja ketika menggunakan perangkat berbeda atau setahu saya jika IP address terdeteksi berbeda pun, maka harus login ulang dengan beberapa langkah pengamanan yang di setting pada akun marketplace tersebut.
Belum lagi kalau semisalnya Scammer tersebut menggunakan akun Bukalapak agan tentunya agan bisa melacak transaksinya dikirim ke alamat mana, dan kalau ada perubahan data semisal pin, email, no. HP pastinya agan selaku pemilik akan mendapatkan notifikasi apakah menyetujui perubahan tersebut atau tidaknya.
Btw, menurut hemat saya perlu ditelusuri juga kebocoran data kartu kredit Mandiri agan tersebut sumbernya dari mana, setidaknya hal tersebut untuk meminimalisir kejadian serupa ketika agan memiliki kartu atau akun lain yang bisa saja datanya masih terkait dengan data kartu kredit sebelumnya.