Два варианта. Либо бот, либо бекдор.
Попробуйте поставить в качестве защиты от бота дополнительный вопрос, дополнительное поле, скрытое поле, заполняемое ява-скриптом или рекапчу2, и смотрите, что будет. Человек обычно такой фигней не страдает, он считает деньги. А работает программа. Например, известный многим Хрумер. Если меры дополнительной защиты помогут, то ваше счастье, что не через бектор или инжект вам сайт рекламой забивали.