Ci sono un certo numero di cose che uno "sviluppatore" potrebbe fare per evitare la creazione di account in blocco in questo modo - ma dipenderà dall'appetito / budget per un cliente.
Ad esempio, è probabile che un certo numero di WAF commerciali individuino i pattern alla fine e inizino a bloccarli, anche quando provengono da IP diversi. Il WAF, se utilizza definizioni / definizioni basate sul cloud, potrebbe aver già visto problemi da quegli IP per altri siti che è stato usato per proteggere.
Se stai solo cercando una soluzione puramente 'programmata' - allora molti hanno tentato di sviluppare le proprie versioni di CAPTCHA (a volte vedi cose semplici come rispondere alla domanda di 5 + 3 = X in un campo modulo) , ma la realtà è che ci vorrà molto tempo / sforzi / spese per sviluppare qualcosa di abbastanza robusto.
Perché il client in questo caso non vuole usare CAPTCHA?