Hola:

Yo tengo el mismo problema... y no sé si son japoneses, chinos o de donde, pero por momentos tengo que modificar mi sistema de seguridad... pero creo que básicamente debes usar un par de variables que podrían ser $post_captcha y $session_captcha y no solo deben coincidir, sino que deben tener contenido... si copian la página a un html, el $session_XXX va a ser "", igual que el valor que tendrá si no se rellena el campo $post_XXX (es una idea... )

Saludos