Hay una serie de cosas que un "desarrollador" podría hacer para evitar la creación masiva de cuentas de esta manera, pero dependerá del apetito / presupuesto para un cliente.
Por ejemplo, es probable que una serie de WAF comerciales detecten los patrones al final y comiencen a bloquearlos, incluso cuando provienen de diferentes IP. Es posible que el WAF, si usa aprendizaje / definiciones basadas en la nube, ya haya visto problemas de esas IP para otros sitios para los que se está utilizando.
Si solo está buscando una solución puramente 'programada', muchos han intentado desarrollar sus propias versiones de CAPTCHA (a veces ve cosas tan simples como responder la pregunta de 5 + 3 = X en un campo de formulario) , pero la realidad es que va a llevar mucho tiempo / esfuerzo / gasto desarrollar algo lo suficientemente sólido.
¿Por qué el cliente en este caso no quiere usar CAPTCHA?